sicher & mobil - ReadingSample · 2018. 3. 22. · Xpert.press sicher & mobil Sicherheit in der...

Xpert.press

sicher & mobil

Sicherheit in der drahtlosen Kommunikation

Bearbeitet vonWolfgang W. Osterhage

1st Edition. 2010. Buch. xiv, 170 S. HardcoverISBN 978 3 642 03082 6

Format (B x L): 15,5 x 23,5 cmGewicht: 444 g

Weitere Fachgebiete > EDV, Informatik > EDV, Informatik: Allgemeines, ModerneKommunikation > EDV & Informatik Allgemein

Zu Inhaltsverzeichnis

schnell und portofrei erhältlich bei

Die Online-Fachbuchhandlung beck-shop.de ist spezialisiert auf Fachbücher, insbesondere Recht, Steuern und Wirtschaft.Im Sortiment finden Sie alle Medien (Bücher, Zeitschriften, CDs, eBooks, etc.) aller Verlage. Ergänzt wird das Programmdurch Services wie Neuerscheinungsdienst oder Zusammenstellungen von Büchern zu Sonderpreisen. Der Shop führt mehr

als 8 Millionen Produkte.

http://www.beck-shop.de/Osterhage-sicher-mobil/productview.aspx?product=352833&utm_source=pdf&utm_medium=clickthru_lp&utm_campaign=pdf_352833&campaign=pdf/352833

http://www.beck-shop.de/trefferliste.aspx?toc=8219

http://www.beck-shop.de/trefferliste.aspx?toc=8219

http://www.beck-shop.de/fachbuch/inhaltsverzeichnis/9783642030826_TOC_001.pdf

�

Die Vernetzung von Computern und deren Komponenten hat sowohl für Organisa-tionen als auch private Nutzer eine neue Qualität durch den Einsatz von drahtlosen Übertragungen erreicht. Am vorläufigen Ende dieser Entwicklung steht das WLAN mit seinen ihm eigenen Sicherheitsanforderungen, die Gegenstand dieses und der beiden folgenden Kapitel sein sollen. WLAN steht für Wireless Local Area Network oder „drahtloses lokales Netzwerk“ oder „drahtloses lokales Funknetz“.

2.1 Kabel oder drahtlos?

Verkabelung bindet Systeme und User an feste Orte, während drahtlose Anwen-dungen den Anwender von Leitungssystemen befreit. Er wird auch im Hinblick auf seine IT-Systeme mobil. Optisch scheint sich sein Arbeitsplatz von sterilen Büro-räumen hin zur Gartenlaube zu wandeln (wenn man entsprechenden Werbespots Glauben schenken will). Und überall auf der Welt kann man sich – ganz so wie mit dem Mobiltelefon – an jedem beliebigen Ort ins Firmennetz einklinken, voraus-gesetzt, es sind genügend Hotspots in der Nähe. So ganz ist diese Vision zwar noch nicht realisiert, aber in Teilen ist sie doch schon Wirklichkeit – mit all den Sicher-heitsproblemen, die das mit sich bringt.

2.1.1 Mobilität

Neben den Veränderungen in den Arbeitsprozessen, die durch den Einsatz von Mo-biltelefonen eingetreten sind, ergeben sich durch die Möglichkeiten einer mobilen Vernetzung weitere Entwicklungsschübe. So gibt es eine Vielzahl von Arbeitsfel-dern, die sich für mobile Anwendungen anbieten, bzw. die ohne eine solche heu-te fast nicht mehr denkbar sind: Großbaustellen, Logistikunternehmen, große La-gerhäuser, Supermärkte, aber auch im Klinikbereich, wo dezentrale medizinische Daten lebensrettend sein können. Ein weiterer Vorteil mobiler Datenkommunika-tion liegt in der Abwicklung unterbrechungsfreier Prozesse. Man braucht nicht an

Kapitel 2Grundzüge des WLAN

W. W. Osterhage, sicher & mobil, DOI 10.1007/978-�-642-0�08�-�_2, © Springer-Verlag Berlin Heidelberg 2010

4 2 Grundzüge des WLAN

seinen Stammarbeitsplatz zurück zu kehren, um Informationen zu suchen, sondern kann sie dort abfragen, wo sie gerade gebraucht werden.

Unabhängig von Performance-Gesichtspunkten (die aber gelöst werden kön-nen) unterscheiden sich in der Praxis für den Enduser LAN- und WLAN-Lösungen nicht. Neben Kriterien wie Mobilität gibt es aber noch weitere Gesichtspunkte, bei denen WLAN-Lösungen vorzuziehen sind: Kostenersparnis bei aufwendigen Ver-kabelungen – insbesondere bei älteren Gebäuden, bei denen bauliche Strukturen den Aufbau eines Backbone unmöglich machen können. Und natürlich als tempo-räre Lösungen auf Veranstaltungen, Messen oder zeitlich begrenzter Gruppenarbeit im Projekt, in Unternehmen. Funknetze sind flexibel und zeitnah zu realisieren.

Einen ganz besonderen Aufschwung der WLAN-Anwendungen hat es in letzter Zeit insbesondere auch im privaten, häuslichen Bereich gegeben. Da hier häufig eine professionelle Unterstützung fehlt, ist bei diesen Anwendungen mit erhöhten Sicherheitsrisiken zu rechnen.

2.1.2 Sicherheit

Eine drahtlose Vernetzung setzt sich anderen Gefährdungen aus als Festnetzanwen-dungen. Das liegt an der verwendeten Form der Datenübertragung per Funk. So können Angreifer z. B. vom Auto auf einem Parkplatz mit einem Notebook und unter Umständen auf Basis einer Chips-Dose mit Antenne die Funkkommunikation im Hause abhören.

Solche Aktivitäten nennt man Wardriving. Im Internet kursieren dazu mittler-weile Webseiten, die ungeschützte WLANs in bestimmten Städten und Regionen auflisten. Deshalb besteht eine gewisse Dringlichkeit zur Absicherung der Funkver-netzung, bzw. zur Entwicklung von entsprechenden Schutzmaßnahmen.

2.1.2.1 Öffentliche und private Netze

Es gibt natürlich eine Vielzahl von Netzen, die der Öffentlichkeit frei zugänglich sind: Internet, Bibliotheken, städtische Informationssysteme und so weiter. Diese Netzte enthalten keine vertraulichen Informationen, die komplizierte Zugangsveri-fikationen benötigen. Geht es aber um Netzte im privaten Bereich und um Teile der Informationssysteme von Firmen oder Behörden, kommen zu den aus der klassi-schen LAN-Welt bekannten Sicherheitsproblemen völlig neue Gefährdungen hin-zu. Diese Gefährdungen liegen in der Natur des Übertragungsmediums begründet. Radiowellen sind abhörbar und können von außen massiv gestört werden.

2.1.2.2 Die Anfänge der Sicherheit im WLAN

Von Anfang an war das Bewusstsein der zusätzlichen Gefährdung von WLANs bei den Entwicklern der zugehörigen Standards vorhanden. So wurden auch

�

entsprechende Verfahren mitgeliefert, die dem Rechnung tragen sollten. Das be-kannteste frühe Verschlüsselungssystem läuft unter der Bezeichnung WEP. WEP erwies sich aber schon bald als unzureichend. Mittlerweise werden entsprechende Hacking-Tools im Internet angeboten, mit denen man WEP relativ leicht knacken kann.

Verbesserung gab es im Jahre 2004 mit dem Standard 802.11i der IEEE. Das Problem heute ist allerdings, dass noch immer zahlreiche Komponenten im Ge-brauch sind, die die angebotenen Lösungen nicht unterstützen. Dazwischen gibt es Lösungen wie zum Beispiel WPA, die eine weite Verbreitung gefunden haben. Dazu weiter unten mehr.

2.2 Funknetze: Grundlagen

WLAN ist die Abkürzung für Wireless Local Area Network. Diese Bezeichnung weist schon darauf hin, das LAN-Funktionalitäten drahtlos bereitgestellt werden. Drahtlos geht allerdings über den reinen klassischen Funkverkehr hinaus und kann auch zum Beispiel den Infrarotbereich (nicht Gegenstand der aktuellen Ausgabe des vorliegenden Buches) mit einbeziehen.

Häufig findet man in realisierten Konfigurationen die Kopplung von WLAN und LAN, wobei WLAN-Komponenten oft Frontends von größeren Anwendungen sind. Die WLAN-Teile stehen solchen Anwendern zur Verfügung, deren Aufgaben-struktur im Unternehmen eine hohe Mobilität voraussetzt. Der Phantasie bei Netz-kopplungen sind keine Grenzen gesetzt bis hin zur Verbindung mehrerer LANs zu MANs (Metropolitan Area Networks).

2.2.1 Das Frequenzspektrum

Die physikalischen Unterscheidungsmerkmale bei der Klassifikation der elek-tromagnetischen Wellen für eine WLAN-Kommunikation sind Frequenz und Wellenlänge. Aus den insgesamt verfügbaren Frequenzen lassen sich bestimm-te Frequenzbereiche bzw. Frequenzbänder differenzieren. Die Medien Radio und Fernsehen arbeiten im Bereich der Lang- bis Ultrakurzwellen, der zwischen �0 kHz und �00 MHz liegt. Funknetze, die hier betrachtet werden, bewegen sich zwischen �00 MHz und � GHz.

Das erste für diese Zwecke durch die Federal Communications Commission (FCC) zur Lizenz freien Nutzung freigegebene Frequenzband war das sogenannte ISM-Band. Das war im Jahre 198�. ISM steht für: Industrial, Scientific, Medical. Aus diesem Band bedienen sich die WLANs – und zwar zwischen 2,4 und � GHz. Das war der Startschuss für die Entwicklung entsprechender Komponenten durch die Privatindustrie.



2.2.2 Die Standards: Grundsätzliches

Die IEEE mit ihrer weltweiten Mitgliedschaft von Ingenieuren und Wissenschaft-lern interessierte sich ab Ende der achtziger Jahre dafür, die fehlenden Standards aus der Welt zu schaffen. Und so wurde unter der nunmehr berühmten Nummer 802.11 im Jahre 1997 ein erster WLAN-Standard veröffentlicht. Dieser wurde im Laufe der Jahre immer wieder ergänzt, und die Ergänzungen über angehängte Kleinbuch-staben differenziert.

1999 kamen bei der IEEE zwei neue Standards heraus: der 802.11a und der 802.11b. Der letztere entwickelte sich zum heute am meisten verbreiteten Standard. Dabei wird das gesamte Spektrum von privaten, industriellen und öffentlichen An-wendungen inklusive Hotspots abgedeckt. Die nominelle Übertragungsrate unter 802.11b geht von 11 Mbit/s aus. Davon wird allerdings ein signifikanter Anteil für Protokoll-Overheads benötigt. Der Standard bewegt sich im 2,4 GHz-Frequenzbe-reich unter Nutzung des HR/DSSS-Verfahrens.

Als weiterer wichtiger Standard wurde im Jahre 200� der 802.11g freigegeben. Dieser lässt bereits Übertragungsraten von bis zu �4 Mbit/s zu. In einem anderen Frequenzbereich – nämlich � GHz – arbeitet der 802.11a. Um die Übersicht zu ver-vollständigen: 2004 kam 802.11i heraus mit zusätzlichen Sicherheitsfeatures. Die Details werden weiter unten abgehandelt.

2.2.3 Die Symbiose: Computer- und Funktechnologien

Alles, was unter 802.11 deklariert ist, gehört seinerseits wiederum als Untergrup-pe zu den LAN/MAN-Standards unter 802 allgemein. Ursprünglich war an Über-tragungsraten von 1 bis 2 Mbit/s für Komponenten in drahtlosen Netzen gedacht. Dazu wurden funktechnisch zwei unterschiedliche Frequenzspreizverfahren in Be-tracht gezogen: das Frequenzy Hopping Spread Spectrum (FHSS) und das Direct Sequence Spread Spectrum (DSSS).

Spätere Versionen von 802.11 visierten für Funkverbindungen Übertragungsra-ten von 11 bzw. �4 Mbit/s an. Dazu werden andere Technologien der Frequenzmo-dulation eingesetzt: High Rate Sequence Spread Spectrum (HR/DSSS) und Ortho-gonal Frequency Division Multiplexing (OFDM).

2.2.3.1 Vorteile von ISM

Standards haben den Vorteil, dass Komponenten unterschiedlicher Hersteller mit-einander kommunizieren können. Das gilt natürlich auch für den 802.11. Vorausset-zung ist allerdings wie überall, dass diese eben Standard konform sind. Der Vorteil der Nutzung des ISM-Bandes besteht im Wesentlichen darin, dass dieses Band fast überall auf der Welt lizenzfrei genutzt werden kann, ohne dass sich kommerzielle

7

Provider dazwischenschalten. Der Vorteil für private Nutzer ergibt von selbst, aber auch öffentliche Netze profitieren vom Wegfall jeglicher Lizenzgebühren. Ohne die sonstigen bürokratischen Overheads lassen sich auf diese Weise temporäre Netze z. B. für Messen oder Events zeitnah aufbauen.

Aber im ISM tummeln sich nicht nur WLAN-Komponenten, sondern alle mögli-chen anderen nützlichen Geräte. Dazu gehören medizinisch-technische, Mikrowel-lenherde, Fernsteuerungen etc. Das bedeutet, dass in der Nähe solcher Geräte die WLAN-Kommunikation anfällig für Störungen innerhalb dieses Frequenzbandes ist. Dagegen müssen Vorkehrungen getroffen werden.

2.2.3.2 WLAN-Komponenten

Zum Aufbau eines WLAN sind bestimmte technische Komponenten erforderlich. Diese werden im Detail weiter unten beschrieben. Die Komponenten werden ein-gesetzt, um eine Organisation oder Teilbereiche davon mit einem Funknetz abzu-decken. Andererseits können sie dazu dienen, im Einzelfall mobile Endgeräte in be-stimmten Lokationen z. B. in einem Unternehmen mit einer zentralen Anwendung zu verbinden. Oder aber die Nutzung eines WLANs wird für fremde Teilnehmer kommerziell angeboten.

Grundvoraussetzung sind Netzwerkadapter, die entweder fest oder austauschbar auf den mobilen Endgeräten installiert sind. Je nach Gerät werden unterschiedliche Adapter benötigt. So werden bei Notebooks häufig USB-Adapter oder PCMCIA-Karten eingesetzt. Damit diese funktionieren, müssen die zugehörigen Treiber zum Senden und Empfangen vorhanden sein. Bei zeitgemäßen Notebooks sind WLAN-Komponenten sowie Treiber Teil der integrierten Standardauslieferung. Das gleiche gilt auch für PDAs (dazu gibt es ein gesondertes Kapitel).

2.2.3.3 Access Points

Je nach Netzarchitektur können mobile Endgeräte untereinander kommunizieren oder aber sich über stationäre Einheiten austauschen, die auch gleichzeitig Gate-ways zu einem LAN bilden können. Diese Komponenten heißen Access Points. Access Points können als stand alone Komponenten ausgeliefert werden oder sind Teil eines anderen Gerätes mit umfassenderem Funktionsumfang. Dazu gehören zum Beispiel: Router, Hubs, DHCP-Server oder DSL-Modems. Dabei kann gleich-zeitig auch die NAT-Funktion mit eingebaut sein. Network Address Translation ermöglicht die Kommunikation über unterschiedliche IP-Adressen innerhalb des Netzwerks, zeigt das gesamte Netzwerk aber nur mit einer gemeinsamen IP-Adres-se dem Internet an. Dadurch kann der Internetzugang gemeinsam genutzt werden. Gleichzeitig erfüllt dieses Feature die Funktion einer Firewall gegen Zugriffe auf die individuellen Teilnehmer.

Neben der klassischen Hardware-Variante können Access Points aber auch über Software auf einem PC konfiguriert werden.



2.2.4 Senden und Empfangen

Wesentlich bestimmend für das Sende- und Empfangsverhalten im Funkbereich sind Art und Auslegung von den verwendeten Antennen. Standardantennen ermög-lichen eine Reichweite von 100–�00 m Entfernung. Räumliche und geographische Randbedingungen können diese Werte stark beeinflussen. Das gilt für Antennen, die mit den WLAN-Komponenten ausgeliefert werden. Diese Werte lassen sich durch den Einsatz externer Zusatzantennen erheblich verbessern. Richtfunkanten-nen erlauben eine Abdeckung über mehrere Kilometer hinaus. Eine solche Erweite-rung der Reichweite nennt sich „Antennengewinn“. Dabei ist zu beachten, dass die Gesamtsendeleistung für alle Komponenten in Deutschland zulässige Grenzwerte nicht übersteigen darf. Mehr dazu im Abschn. 2.2.4.2.

2.2.4.1 Typen

Man differenziert unterschiedliche Typen von Antennen. Die Klassifizierung er-folgt nach Ausbreitungsmuster und Verstärkungstechnologie. Grundsätzlich wird nach unidirektional und omnidirektional unterschieden. Zu den letzteren gehören Rundstrahlantennen. Richtantennen sind unidirektional. Sie besitzen nur einen ein-geschränkten Öffnungswinkel. Das ermöglicht eine größere Reichweite bei gleich bleibender Sendeleistung (Antennengewinn).

Die in WLANs eingesetzten Access Points sind mit Rundstrahlantennen aus-gestattet, sofern nicht für extreme Reichweiten dennoch Richtantennen vorgese-hen werden. Da der Eigenbau von externen Antennen nach Anleitungen auch im Internet einfach zu bewerkstelligen ist, ergibt sich hier ein erhöhtes Sicherheits-problem.

2.2.4.2 Leistung

Der 2,4 bzw. � GHz Frequenzbereich für eine 802.11 WLAN Konfiguration gehört zu den Ultrakurzwellen, deren Reichweite einige hundert Meter bis einige Kilome-ter beträgt. Bei Sichtverbindung zwischen Sender und Empfänger bestehen optima-le Bedingungen für die Kommunikation.

Trotz der Lizenzfreiheit für das ISM-Band bestehen gewisse Regularien, die Länder spezifisch sind. Das betrifft insbesondere die Sendeleistung. Innerhalb der EU beträgt deren Obergrenze 20 dBm für das 2,4 GHz Frequenzband sowie �0 dBm für das � GHz Band bezogen auf die effektive Sendeleistung. Diese Vor-schriften können natürlich den Gewinn, den man eventuell durch den Einsatz einer Richtfunkantenne erzielt, wieder zunichte machen, da dann technische Maßnahmen eingesetzt werden müssen, um die Leistung wieder in den konformen Bereich zu drosseln.

9

2.2.4.3 Interferenzen

Bei der Konzeption und Implementierung von WLANs sind bereits im Vorfeld mögliche Störquellen auszumachen. Funknetze unterliegen anderen Einflussmög-lichkeiten von außen als klassische voll verdrahtete Netze. Je nach Rahmenbedin-gungen müssen entsprechende Lösungen gesucht werden, um solche Störungen auszuschalten.

Die Störungen können grundsätzlich zweierlei Ursachen haben: natürliche atmo-sphärische Störungen und Störungen, die durch die Technologie fremder Systeme verursacht werden. Zu solchen Systemen gehören – wie bereits oben erwähnt – bei-spielweise auch Geräte der Unterhaltungselektronik. Diese Interferenzen schlagen natürlich auch in angekoppelte LAN-Systeme durch.

2.2.5 Geordnete Datenübermittlung

Die Punkt-zu-Punkt-Verbindung ist die denkbar einfachste Konfiguration zur Über-tragung von Informationen. So kann man beispielsweise zwei eigenständige Sta-tionen durch ein Kabel oder – wie in unserem Falle – per Funk zusammenbringen. Die Verbindung folgt immer einer klassischen Sequenz: Aufbau, Kontrolle bzw. Steuerung und Abbau. Sind Modems dazwischen geschaltet, ist eine vorhergehen-de Synchronisation untereinander erforderlich, bevor überhaupt eine Übertragung stattfinden kann. Die Übertragung selbst unterliegt Sicherheitschecks, um Daten-fehler zu vermeiden.

Übertragungen selber bedienen sich dabei technischer Protokolle, die Steue-rungsfunktionen übernehmen. Dazu greifen sie auf allen relevanten Kommunika-tionsebenen ein.

2.2.5.1 Einsatz von Routern

Die nächst komplexere Konfiguration gegenüber einer Punkt-zu-Punkt-Verbin-dung wird dann erreicht, wenn mehr als zwei Teilnehmer miteinander kommuni-zieren möchten. Hier taucht dann zuerst der Begriff Netzwerk auf, und damit sind plötzlich ganz andere Voraussetzungen erforderlich, um die Teilnehmer korrekt zu adressieren.

In großen Netzen stehen häufig mehrere Routen zwischen zwei beliebigen Sta-tionen zur Auswahl. Die Selektionsaufgabe für den optimalen Pfad wird von ent-sprechenden Routern übernommen.

Damit es nicht zu Kollisionen innerhalb des Netzes zwischen zu empfangenden und gesendeten Nachrichten auf dem gleichen Trägermedium kommt, gibt es tech-nische Instrumente, diese zu entdecken und zu verhindern. Dazu dient beispielswei-se das Carrier Sense Multiple Access (CSMA) Verfahren, das weiter unten erläutert wird.



2.2.5.2 Nachrichtenpakete

Man unterscheidet bei der Vermittlung von Kommunikation zwei Möglichkeiten:

• Leitungsvermittlung und• Paketvermittlung.

Leitungsvermittlung spielt eine Rolle in der Telephonie, während sich Datennetze der Paketvermittlung bedienen. Dabei werden die Nachrichten in Blöcke – in Pake-te – aufgeteilt wie in Abb. 2.1.

Diese Blöcke haben einen definierten strukturellen Aufbau. Im Wesentlichen sind sie unterteilt in einen Header mit Steuerungsinformationen und den eigentli-chen Nachrichtenkörper, der die brauchbare Information enthält. Dem Header sind Absender und Zieladresse bekannt. Beim tatsächlichen Versand nutzt das Netz je-weils optimierte Routen für die einzelnen Datenpakete, die sich aus dem gesamten Datenverkehr ergeben, sodass Blöcke, die zur selben ursprünglichen Nachricht ge-hören, auf unterschiedlichen Wegen ihr Ziel finden können. Die Pakete werden erst wieder an der Zieladresse vereinigt.

Bei der Paketvermittlung spielt neben der Wegeoptimierung und der damit ver-bundenen effektiven Nutzung von Netzressourcen auch die Performance eine Rolle. Da die Pakete klein sind, werden Warteschlangen schneller abgebaut. Hier noch einmal die Vorteile dieser Kommunikationsnetze:

• Alle Teilnehmer sind gleichberechtigt• Fehler werden schnell erkannt• Erneute Sendung fehlerhafter Pakete• Kein Verlust von Paketen beim Ausfall einer Station• Alternative Route zur Zieladresse.

Abb. 2.1 Paketvermittlung in Netzwerken

Nachricht Nachricht

ZieladresseAbsenderlfd. Nr.Checksum-----------------Nutzdaten

ZieladresseAbsenderlfd. Nr.Checksum-----------------Nutzdaten

Paketübermittlung

11

2.2.6 Netzwerktopologien

Wie schon aus dem Vorhergesagten hervorgeht, gibt es unterschiedliche Netzkon-figurationen, die auch als Topologien bezeichnet werden. Zur Darstellung solcher Topologien bedient man sich bestimmter graphischer Elemente für die Darstellung von Komponenten und Verbindungen. Unterschieden werden Netzwerkknoten (Endgeräte und Steuerungsstationen) und Linien oder Verbindungspfeile für die Verbindungen. Folgende Topologien werden unterschieden:

• Ringnetze• Maschennetze• Sternnetze und• Baumnetze.

Für die WLAN-Belange sind nur Maschen- und Sternnetze relevant.Neben rein strukturellen Erwägungen spielen auch andere Kriterien bei der Aus-

wahl einer Netztopologie eine Rolle. Die Vor- und Nachteile werden insbesondere bei der Betrachtung von Kabelnetzen sichtbar. Maschennetze erfordern die Verbin-dung von mehreren Knoten untereinander (s. Abb. 2.2). Dieser hohe Verkabelungs-aufwand entfällt selbstverständlich bei Funknetzen. Demgegenüber sind Maschen-netze Ausfall sicherer. Auch treten Performanceengpässe seltener auf. Aus diesen Gründen wurden Maschennetze bei der Konstruktion des Internets vorgezogen.

Neben einem kompletten Maschennetz sind auch Lösungen denkbar, die als par-tielles Maschennetz bezeichnet werden (Abb. 2.�). Hierbei werden nicht alle Sta-tionen untereinander verbunden (m:m), sondern nur die Nachbarstationen (n:m). Im Extremfall landen wir dann wieder bei der Punkt-zu-Punkt-Verbindung von nur zwei Stationen.


Abb. 2.2 Maschennetz


Die sternförmige Netztopologie folgt klassischen IT-Strukturen mit einem Zen-tralsystem in der Mitte und den Arbeitsplätzen über Einzelverbindungen peripher damit verbunden (s. Abb. 2.4). Somit stellt sich eigentlich die Frage nach dem Rou-ting zunächst nicht. Auch sind solche Netze leichter zu administrieren. Gibt es al-lerdings keine zentrale Redundanz, bricht das Netz bei Ausfall der Zentraleinheit sofort zusammen. Den Platz der Zentraleinheit belegt im WLAN der Access Point mit den ihm zugeordneten Stationen.

2.2.7 Funktechnologien

Im Unterschied zu verkabelten Netzen kann das Adressierungskonzept im WLAN ein anderes sein: in LANs sind die Adressen fixiert, d. h. jede Adresse ist einer be-stimmten Position zugeordnet, während das in einem WLAN nicht unbedingt der Fall zu sein braucht.

Abb. 2.3 Partielles Maschennetz

Abb. 2.4 Sternnetz

1�

Datenübertragung erfolgt durch modulierte Wellen zwischen den Antennen von Sender und Empfänger. Dazu ist es erforderlich, dass vor dem Senden die zu übertra-genden Informationen in analoge Signale umgewandelt werden. Der Empfänger greift die analogen Signale entsprechend auf und digitalisiert sie anschließend wieder.

2.2.7.1 Das Modulationsverfahren

Wie läuft das Modulationsverfahren ab? – Zunächst wird von der Grundfrequenz einer verwendeten Funkwelle ausgegangen. Diese wird auch als Trägerschwingung bezeichnet. Auf diese wird das in Frage kommende – auch als Zeichenschwingung bezeichnete – Signal aufgeprägt. Daraus resultiert ein Mischsignal. Und dadurch ändert sich auch das Frequenzspektrum dieser modulierten Schwingung gegenüber der ursprünglichen nicht-modulierten Trägerschwingung. Je nach Modulation ver-hält sich das erzeugte Signal anders gegenüber sonstigen Signalen, die sonst noch in der Nähe auftauchen. Je nach Modulationsverfahren können die betrachteten Signa-le mehr oder weniger stabil bzw. mehr oder weniger störanfällig sein.

Das Spread Spectrum Verfahren wurde entwickelt, um eine verbesserte Signal-stabilität zu bekommen. Dahinter steht die Methode, ein Signal auf mehrere Kanäle umzulegen. Durch diese Art von Modulation wird das Signal mit mehr als einer Trägerschwingung gespreizt. Das macht das Signal robuster gegenüber Störungen von außen. Gleichzeitig sinkt dabei der Energieverbrauch. Der Nachteil dieses Ver-fahrens besteht darin, dass mehr Bandbreite benötigt wird.

2.2.7.2 Bandbreite

Von der Bandbreite war schon öfters die Rede. Sie legt die Übertragungskapazi-tät eines Trägermediums fest. Und die beeinflusst direkt die erzielbare Datenrate. Bandbreite meint den Frequenzbereich, innerhalb dessen die Signalübertragung stattfindet. Die übertragbare Informationsmenge pro Zeiteinheit ist also abhängig von der Bandbreite. Ihre Einheit ist Hertz (Hz) oder Vielfache davon (kHz, MHz, GHz). Die Datenrate selbst wird in Kbit/s oder Mbit/s gerechnet. Je nach Übertra-gungsrichtung unterscheidet man:

• Duplex (beide Richtungen gleichzeitig)• Simplex (nur eine Richtung)• Halb-duplex (wechselnde Verbindungsrichtungen, aber nicht gleichzeitig).

2.2.7.3 Reichweite von Funksignalen

Die Reichweite von Funksignalen hängt ab von:

• Der Dämpfung• Der Frequenz• Störungen von außen.



Dabei haben schwache niederfrequente Wellen oftmals eine relativ große Reich-weite, da sie u. a. auch physikalische Hindernisse durchdringen können. Höherfre-quente Wellen sind dazu nicht in der Lage. Abbildung 2.� zeigt die Verteilung der Intensität von Funksignalen.

Das Übertragungsmedium eines Funknetzes weist gegenüber Kabelnetzen ganz spezifische Unterschiede auf:

• Keine sichtbaren Abgrenzungen• Kein Schutz gegenüber Interferenz-Signalen.

Außerdem kann die gegenseitig „Sichtbarkeit“ aller Stationen mit allen anderen innerhalb desselben Netzes nicht vorausgesetzt werden. Manche Stationen bleiben unter Umständen unsichtbar. Funkwellen haben die unangenehme Eigenschaft, dass sie schwanken und sich nicht unbedingt symmetrisch ausbreiten. Das wird illustriert durch die Abbildung, die der 802.11 Spezifikation von 1999 entnommen wurde.

All dass führt dazu, dass Funknetze auch physikalisch gesehen weniger zuver-lässig sind, als man es von Kabelnetzen gewohnt ist.

2.2.7.4 Kanalverteiliung

Der Frequenzbereich für WLANs des ISM-Bandes wurde bereits mehrfach er-wähnt. Dabei wird das 2,4 GHz Frequenzband zwischen 2,4 und 2,48�.� GHz in einzelne Kanäle aufgeteilt. Sie haben jeweils eine individuelle Breite von 22 MHz. Ihr Abstand beträgt � MHz. Dabei kann es zu Frequenzabweichungen kommen. Das wird durch das Spreizverfahren verursacht. Die Abweichungen können bis zu 12,� MHz gegenüber der Zentralfrequenz in beide Richtungen betragen. Das ist die

Abb. 2.5 Repräsentative Verteilung der Intensität von Funksignalen. (Quelle: ANSI/IEEE 802.11, 1999 Edition)

1�

Ursache für eventuell auftretende Interferenzen zwischen benachbarten Kanälen. Abbildung 2.6 zeigt eine beispielhafte Kanalverteilung.

2.2.7.5 Trennung von Kanälen

Nutzt man aber gleichzeitig jeweils nur Kanäle, die möglichst weit voneinander entfernt liegen (Kanaltrennung), lassen sich Interferenzen weitgehend vermeiden. Idealerweise sollte nur jeder fünfte Kanal gleichzeitig genutzt werden. Das wür-de allerdings dazu führen, dass höchstens drei unterschiedliche Kanäle im selben WLAN zum Einsatz kämen. Zur Optimierung der Leistung bliebe dann nur noch die Verhinderung von Störungen von außen. Die Tab. 2.1 zeigt die Frequenzvertei-lung im 2,4–2,� GHz-Band.

Abb. 2.6 Die Kanäle 2, 7 und 12 sind überlappungsfrei. (Quelle: BSI Sicherheit im Funk-LAN 200�)

Frequenzraster IEEE 802.11bKanalabstand 5 MHzKanalanzahl 13Kanalbandbreite ca. 22 MHz3 überlappungsfreie Kanäle (hier: 2, 7, 12)

Kanal 1 Kanal 2 Kanal 7 Kanal 12 Kanal 13

2,400 GHz 2,442 GHz 2,467 GHz 2,4835 GHz2,417 GHz


Tab. 2.1 Frequenzen der verschiedenen Kanäle im 2,4–2,�-FrequenzbandKanal Zentralfrequenz (MHz) Frequenz-Spread (MHz) 1 2.412 2.�99,�–2.424,� 2 2.417 2.404,�–2.429,� � 2.422 2.409,�–2.4�4,� 4 2.427 2.414,�–2.4�9,� � 2.4�2 2.419,�–2.444,� 6 2.4�7 2.424,�–2.449,� 7 2.442 2.429,�–2.4�4,� 8 2.447 2.4�4,�–2.4�9,� 9 2.4�2 2.4�9,�–2.464,�10 2.4�7 2.444,�–2.469,�11 2.462 2.449,�–2.474,�12 2.467 2.4�4,�–2.479,�1� 2.472 2.4�9,�–2.484,�


Das breitere � GHz-Band ist breiter von der Ausgangslage her. Mit ihm können 19 Kanäle ohne Überlappung genutzt werden. Ein weiterer Vorteil besteht darin, dass weder Mikrowellenherde noch der Mobilfunk diese Frequenzen nutzen, und deshalb die Störanfälligkeit geringer ausfällt.

2.3 Sicherheitsaspekte

Auf die physikalischen Unterschiede zwischen drahtloser und kabelgebundener Übertragung wurde bereits hingewiesen. Die Besonderheiten der Funkübertragung führen allerdings zu einer ganzen Reihe spezifischer Sicherheitsanforderungen, die über jene von verkabelten Netzen hinausgehen, ohne wiederum deren Sicherheits-anforderungen ignorieren zu können. Im Folgenden sollen die konkreten Sicher-heitsverfahren dargestellt werden, die die Standards dafür vorsehen. Zuvor soll aber zunächst die Zielsetzung betrachtet werden.

2.3.1 Übergeordnete Sicherheitsaspekte

2.3.1.1 Netzverfügbarkeit

Über die Störanfälligkeit von Funknetzen wurde bereits berichtet. Das ist ein grund-sätzliches Problem. Dabei soll es hier allerdings nicht um zufällige Störungen durch Geräte, die denselben Frequenzbereich nutzen, gehen. Es gibt Störungen, die be-wusst von Angreifern hervorgerufen werden, um den Funkverkehr zu sabotieren.

Zur Disposition steht dabei eines der wesentlichen Ziele beim Betrieb von IT-Anlagen: die Verfügbarkeit. Zunächst wird diese sichergestellt durch die konkrete Netztopologie selbst, d. h. die geographische Fixierung der WLAN-Komponenten, insbesondere der Access Points. Von Bedeutung ist auch eine optimale Konfigu-ration unter Berücksichtigung des Betriebsmodus, der Frequenzbereiche und der Übertragungsgeschwindigkeit. Wegen der Störanfälligkeit ist eine kontinuierliche Beobachtung des Netzbetriebs erforderlich. Bei Störungen sollte die Ursache mög-lichst zeitnah gefunden werden.

2.3.1.2 Problem der Datenintegrität

In Funknetzen wie auch in drahtgebundener Umgebung muss sichergestellt werden, dass alle Daten ihren Adressaten vollständig und unverändert erreichen. Falls die Daten unterwegs manipuliert worden sind, muss der Empfänger diesen Umstand wahrnehmen können, um auf eine solche Manipulation reagieren zu können. Vom Ergebnis her ist es unerheblich, ob eine solche Störung durch bewusste Manipula-tion oder durch technisch bedingte Übertragungsfehler hervorgerufen wird.

17

2.3.1.3 Wechselseitige Authentizität

Eine wesentliche Rolle bei der drahtlosen Kommunikation spielt die Authentizität. Jede Station muss sich der Authentizität, d. h. auch der Berechtigung, des gegen-überliegenden Kommunikationspartners sicher sein. Das gilt für Sender und Emp-fänger und genauso umgekehrt. Es muss sicher gestellt sein, dass niemand unbefugt ins Netz eindringen kann, dadurch dass er sich als gültiges Mitglied der Netzteil-nehmer verstellt. Selbstverständlich gilt diese Anforderung besonders dann, wenn sensible Daten ausgetauscht werden, die für den Geschäftsverkehr und die Unter-nehmenssicherheit von Bedeutung sind.

2.3.1.4 Anforderungen an die Vertraulichkeit

Gegenüber der Kommunikation in offenen Netzen, die gerade auf die allgemeine Teilhabe an allen zugänglichen Informationen ausgelegt sind, spielt die Vertrau-lichkeit des Informationsaustausches in privaten drahtlosen Netzen aus Sicht des Datenschutzes eine ganz andere Rolle. Hier müssen entsprechende Geheimhal-tungsstufen tatsächlich zum Tragen kommen. Da Funksignale prinzipiell mitgehört werden können, geht dieser Weg nur über eine Verschlüsselung. Eine Verschlüsse-lung erfüllt dabei zwei Aufgaben:

• Sie sollte die übermittelten Informationen und• die zugehörigen Verbindungsdaten schützen.

2.3.2 Risiken

Aus der Tatsache, dass bei der Funkübertragung gewissermaßen der freie Raum als Übertragungsmedium genutzt wird, ist das Abhören einfacher als bei drahtgebun-denen Anwendungen. Entsprechend drastisch ändern sich die Anforderungen durch die spezifische Sicherheitslage gegenüber verkabelten LANs. LANs sind zudem geographisch fixiert. Deren Anwender sind bekannt. Bei WLANs gibt es weder Ge-bäudegrenzen noch ist sichtbar, welche Personen gerade zugreifen.

2.3.2.1 Angreifer und ihre Motive

Hier die wichtigsten Angriffsmotive und -formen:

• Technische Herausforderung: spielerische Hacker, die ausprobieren wollen, ob sie irgendwo Zugang gewinnen können, ohne bewusst Schaden anrichten zu wol-len; dazu gehört auch die Intention, andere ohne deren Wissen zu belauschen und in deren Privatsphäre einzudringen. Die Tools dazu sind meist aus dem Internet bezogen.

2.� Sicherheitsaspekte


• Kriminelle Zielsetzungen: die Absicht ist, anderen Personen oder Unternehmen Schaden zuzufügen, oder sich zu bereichern.

• Unbefugte Mitbenutzung des Internetzugangs: wird ein WLAN in Kombination mit einem DSL-Anschluss betrieben, gibt es Versuche, den Internet-Zugang un-befugt mitzubenutzen; hierbei besteht die Möglichkeit, den Account für Down-loads von vertraulichen Daten oder für kriminelle Kontakte zu missbrauchen.

• Sich direkte materielle Vorteile verschaffen: alle Arten des unbefugten Zugriffs sind möglich; ohne dass der Betroffene zunächst oder auch über einen längeren Zeitraum etwas davon merkt.

• Einschleusen von Daten oder Software: unbefugte Stationen in ein WLAN ein-schmuggeln, um dort gezielt Daten abzusetzen, indem den Access Points eine autorisierte Identität vorgetäuscht wird; Beispiele: Implantierung von Spyware, um Kreditkartendaten auszuspionieren, Attacken mit trojanischen Pferden, die wichtige Datenbestände eines Unternehmens stehlen, Viren, die Daten zerstören können.

2.3.2.2 WLANs Lokalisieren

Um illegalen Zugang zu WLANs zu erhalten, muss ein Angreifer zunächst einmal wissen, wo sich ein WLAN befindet. Je ungeschützter ein WLAN ist, desto leichter wird ihm das fallen. Solche Netzwerke schicken beständig ihre Beacon-Frames in die Welt und machen so auf ihre Existenz aufmerksam. Ein sogenannter Wardriver, jemand, der Stadtviertel – häufig per Auto – danach absucht, wird schnell fündig. Alles was er braucht, ist eine Antenne. Verfügt er darüber hinaus über ein Notebook oder ein PDA, kann er ziemlich schnell auch die Namen der Access Points her-ausfinden. Jetzt steht ihm die Möglichkeit offen, die Kommunikation zu protokol-lieren, um daraus durch geschickte Analyse Rückschlüsse auf die Teilnehmer und Passwörter zu erhalten.

Es gibt mittlerweile ausreichend Tools im Internet zum herunterladend, mit denn man Netzstatistiken auswerten kann. Generell lässt der Schutz von WLANs sehr zu wünschen übrig. Man kann davon ausgehen, dass das für die Mehrzahl der Netze der Fall ist, sodass Eindringlinge ohne Probleme bis in die Funkzellen vordringen können.

2.3.2.3 Verschlüsselung knacken

Verschlüsselungen sind ein erster Schritt in die richtige Richtung, um WLANs si-cherer zu machen. Man sollte aber nicht meinen, dass dadurch schon alle Sicher-heitsprobleme gelöst wären. Auch verschlüsselte Daten können protokolliert wer-den. Um die Schlüssel zu knacken, bedarf es allerdings einer entsprechenden Masse von Daten und entsprechender statistischer Analysewerkzeuge. WEP-Schlüssel las-sen sich auf Basis von Datenmitschnitten von einigen Stunden ermitteln. Das war

19

für die erste Generation des Standards der Fall. Schon bald waren entsprechende Tools im Internet verfügbar.

Der Schutz eines WLANs auf einer bestimmten Stufe reicht für hartnäckige An-greifer häufig nicht aus. Die unmittelbare Folge wird zunächst der Versuch sein, mit mächtigeren Tools die Absicht dennoch zu erreichen. Deshalb ist eine frühzeitige Entdeckung und damit kontinuierliche Beobachtung notwendig.

Ein weiteres Szenario ist im Vortäuschen einer legitimen Benutzeridentität zu finden. Dazu muss dem WLAN eine zugelassene Netzwerkadresse vorgetäuscht werden, um so Zugang zu erhalten.

Die vielen Möglichkeiten, in ein mehr oder weniger schlecht geschütztes WLAN einzudringen, rufen nach Gegenmaßnahmen. Diese leiten sich natürlich von den Schwachstellen selbst her ab. So kann man genau die Techniken zum Einsatz brin-gen, mit denen Angreifer es auch versuchen, um die Sicherheit seines eigenen Netz-werks auszuloten. Dazu muss man ein Dummy-Netzwerk aufbauen, dass den realen Gegebenheiten entspricht, aber dessen Schwachstellen absichtlich offen gelassen wurden. Das Dummy-Netz kann auch ein Teilnetz sein, gegen das das reale Netz entsprechend abgeschottet ist. Über dieses Einfallstor, das gesondert überwacht wird, lassen sich Angriffsversuche feststellen – spätestens bei der Analyse von Logdateien.

2.4 Die wichtigsten Standards

Standards in Computernetzen aller Art sorgen dafür, dass Konventionen und Regeln festgelegt werden, die dann auch eingehalten werden müssen. Die Regeln sind in Protokollen festgelegt. Die Standards selbst werden erarbeitet und weiter gepflegt von institutionalisierten Gremien, die eine entsprechende Anerkennung genießen. Wie bereits erwähnt, stellen die WLAN-Standards eine Untergruppe von LAN-Standards dar. Die Alleinstellungsmerkmale der WLAN-Standards beziehen sich hauptsächlich auf das Medium der Vernetzung. Im folgenden soll das Verständ-nis für diese Standards geweckt werden. Das ist für das Verständnis der weiteren Materie hilfreich.

2.4.1 Überblick

2.4.1.1 Das OSI-Modell und Standards

Grundlage der 802.11 Standards ist das Open Systems Interconnection Model (OSI), das seinerzeit von der International Organization for Standardization (ISO) entwickelt wurde. OSI ist die Basis für alle Netzwerkprotokolle. Es definiert die Kommunikation von offenen und verteilten Systemen. Dazu bedient es sich so ge-nannten Protokollschichten – sieben insgesamt. Diese Schichten bauen aufeinander



auf. Wenn von offenen Systemen die Rede ist, sind die Systeme nicht an einen ge-sonderten Firmenstandard gebunden, verteilt bedeutet eine dezentrale Systemland-schaft (s. Abb. 2.7).

2.4.1.2 Die physikalische Schicht

Wird eine Kommunikation zwischen zwei Partnern initialisiert, so wird ein Prozess angestoßen, in dessen Folge die verschiedenen Schichten mit den ihnen zugedach-ten Rollen durchlaufen werden. Das beginnt auf der „physikalischen“ Schicht, dem Physical Layer PHY. Hier treten die Protokolle in Erscheinung, die für den Auf- und Abbau der Verbindung über die beteiligten Komponenten sorgen. Dabei werden die Daten in physikalische Signale umgesetzt. Das Protokoll regelt diesen Vorgang un-abhängig vom Kommunikationsmedium. Abbildung 2.8 zeigt den Zusammenhang zwischen OSI und dem 802-Standard.

Abb. 2.7 Datenübertragung nach dem OSI-Modell

Anwendungsschicht

Darstellungsschicht

Sitzungsschicht

Transportschicht

Netzwerkschicht

Leitungsschicht

Physikalische Schicht

DatenDaten

Anwendungsschicht

Darstellungsschicht

Sitzungsschicht

Transportschicht

Netzwerkschicht

Leitungsschicht


Senden Empfangen

PhysikalischeVerbindung

21

2.4.1.3 Die Verbindungsschicht

Oberhalb der physikalischen Schicht ist die Sicherungs- oder Verbindungsschicht angesiedelt, die auch Data Link genannt wird. Sie ist zuständig für das Manage-ment der aufgebauten Verbindung zwischen Sende- und Empfangsstationen. Die-se Schicht garantiert die Integrität der Datenübertragung. Die hierfür verwendeten Protokolle zerlegen die Daten, die aus der physikalischen Schicht her kommen, in Pakete und überwachen dabei gleichzeitig deren Übermittlung. Sie können Über-tragungsfehler erkennen und gegebenenfalls auch korrigieren.

Eine dritte Schicht, die beteiligt ist, die Netzwerkschicht, sorgt für das korrekte Routing der Datensätze, die als fehlerfrei identifiziert worden sind. Weitere Proto-kolle betreffen:

• Transportschicht• Sitzungsschicht• Präsentationsschicht und• Anwendungsschicht.

Diese sind nicht Gegenstand der spezifischen WLAN-Standards.

2.4.1.4 Medium Access Control

IEEE 802.11 kümmert sich nur um die physikalische und die Verbindungsschicht – die beiden untersten Schichten des OSI-Modells, wobei die Verbindungsschicht


Abb. 2.8 Das OSI-Referenzmodell im Verhältnis zum IEEE 802 LAN/MAN-Referenzmodell. (Quelle: IEEE Std 802-2001)

( )

( )

( )

( )

( ) ( )

OSIReference Model

Application

Presentation

Session

Transport

Network

Data Link

Physical Physical Physical

Medium Medium

IEEE 802 LAN & MANReference Model

LLC: Logical Link ControlMAC: Medium Access ControlLSAP: Link Service Access PointMSAP: MAC Service Access PointPhSAP: Physical Service Access Point

UpperLayer

Protocols

UpperLayer

ProtocolsLSAP

MSAP

LLC LLC

MAC MAC

IsochronousPhSAP

Scope ofIEEE 802Standards


nochmals in zwei Teilschichten zerlegt wird. Eine Teilschicht nennt sich Medium Access Control (MAC); die Teilschicht darüber wird als Logical Link Control (LLC) bezeichnet. Für letztere wurde ein eigener Standard 802.2 geschaffen. Er bezieht sich auf alle Arten von LANs. Das zugehörige Protokoll managt die Kom-munikation zwischen Computern.

Die MAC-Schicht selbst ist verantwortlich für die Zerlegung der zu transpor-tierenden Daten in Pakete, die als MAC Protocol Data Units (MPDU) bezeichnet werden. Außerdem steuert es den Zugriff auf das Übertragungsmedium entspre-chend dem auf der physikalischen Schicht festgelegten Arbeitsmodus. Das ist wich-tig, wenn mehrere Stationen auf dasselbe Übertragungsmedium zugreifen. MAC verhindert Kollisionen und Datenverluste. Diese können eben bei gleichzeitigem Senden und Empfangen durch mehrere Stationen im selben Netz entstehen. Das CSMA/CA- Verfahren (Carrier Sense Multiple Access with Collision Avoidance) aus 802.11 sorgt dafür, dass immer nur ein Gerät zu einem gegebenen Zeitpunkt sendet. Details dazu weiter unten.

2.4.1.5 WLAN und LAN

OSI bietet eine Reihe von Vorteilen, die hier noch einmal kurz aufgelistet werden sollen:

• Protokolle von höheren Schichten können problemlos auf Dienste unterer Schichten zugreifen.

• Für Protokolle einer höheren Schicht ist die Arbeit auf der darunterliegenden Schicht transparent.

• Hardware-Komponenten können in die Schichtenhierarchie eingeordnet wer-den (Netzwerkbrücken gehören zur Verbindungsschicht, Router zur Netzwerk-schicht).

2.5 Der IEEE-802.11

Die Standards, die das IEEE in den letzten Jahren für drahtlose Netze verabschiedet hat, sind – wie schon erwähnt – von vornherein als Teil der 802-Familie entworfen, wodurch das Zusammenspiel mit klassischen Ethernet-Lösungen erleichtert wird.

2.5.1 Allgemeine Entwicklung

Der erste Standard für WLANs wurde unter der Nummer 802.11 im Jahre 1997 freigegeben. Diese Version bezieht sich stringent auf das OSI-Modell. Für die phy-sikalische Schicht PHY wird der Datenweg via Funkverbindung festgelegt. Hier kommen Technologien zum Tragen, die bereits weiter oben erwähnt und weiter

2�

unten erläutert werden: FHSS und DSSS zur Spreizung des Frequenzspektrums. Die originären Übertragungsraten (brutto) sollten ursprünglich 1 Mbit/s für FHSS und 2 Mbit/s für DSSS betragen.

Außerdem wurde hier festgelegt, dass zur Datenübertragung das ISM-Band bei 2,4 GHz zu verwenden ist. Bereits jetzt wurden die beiden möglichen Modi der Kommunikation zwischen Teilnehmern festgelegt: ad hoc zwischen zwei Teilneh-mern und Infrastruktur über Access Points.

Fernerhin erfolgte die Spezifikation der MAC-Teilschicht innerhalb der zweiten OSI-Schicht für den Medienzugriff; dazu die notwendigen Protokolle als Schnitt-stelle zur physikalischen Schicht.

WLAN-Komponenten im Handel können unterschiedliche Versionen von 802.11 bedienen. Die Frage der Kompatibilität sei an dieser Stelle zunächst einmal zurück gestellt. Allen ist gemeinsam, dass auf dem Typenschild oder an geeigneter Stelle die Standardversion ausgezeichnet ist, die diese Komponenten bedienen können, beispielsweise: 802.11b. 802.11 meint den Standard an sich, der angehängte Buch-stabe steht für eine spezifische Version. Er leitet sich ursprünglich aus der Identi-fizierung der jeweiligen Task Group her, die sich im Rahmen der Gesamt-Work-Group für alle WLAN-Standards mit dieser spezifische Version beschäftigt hat. Im Folgenden sollen diese Versionen im Einzelnen erläutert werden.

Die Version 802.11b hat die bisher weiteste Verbreitung gefunden. Das hängt mit dem Frequenzband zusammen. Das 2,4 GHz-Band steht in der überwiegenden Zahl der Länder lizenzfrei zur Verfügung. Es gibt natürlich mittlerweile Kompo-nenten, die auch die anderen Mitglieder der 802.11-Familie unterstützen (802.11g oder 802.11i z. B.). Einige dieser Varianten sind auch untereinander kompatibel. Außerdem kann man Komponenten erwerben, die gleichzeitig unterschiedliche Va-rianten unterstützen. So gibt es Access Points, die für 802.11a, b und g eingesetzt werden können.

Heutzutage befinden sich Notebooks auf dem Markt, die eingebaute WLAN-Funktionalitäten führen, die sowohl Einzelversionen wie 802.11b als auch Zwei-band-Lösungen wie 802.11a und 802.11b bedienen, sowie eine Unterstützung für die beiden Modi 802.11b/g bieten.

2.5.2 Die Erweiterungen im Einzelnen

Wie bereits erwähnt liegt im Kern der Spezifikation des Standards die Beschreibung von Verbindungen auf der physikalischen Schicht sowie für die Verbindungsschicht die Steuerung des Medienzugangs auf der MAC-Teilschicht.

Es war aber auch die Rede von der zweiten Teilschicht der OSI-Verbindungs-schicht: LLC (Logical Link Control). Im 802.11 wurde hier nichts Spezifischen festgelegt. Der bereits vorhandene Standard 802.2, der für LANs allgemein gilt, wurde übernommen. Das bedeutet, dass die 802.11 Zugriffsprotokolle im Ergebnis LAN-kompatibel sein müssen. Abbildung 2.9 zeigt den Zusammenhang zwischen OSI und 802.11.

2.� Der IEEE-802.11


2.5.2.1 Die Version 802.11a

Im Jahre 1999 wurde die 1997 freigegeben Version noch einmal grundlegend über-arbeitet. Im Jahre 1999 kamen gleich zwei neue Versionen hinzu: 802.11a und 802.11b. Für 802.11a wurde ein Verfahren eingeführt, das die Datenübertragungs-rate wesentlich steigert – das OFDM-Verfahren. Dieses nutzt außerdem ein anderes Frequenzband. Ab jetzt sind Übertragungsraten von zwischen 6 und �4 Mbit/s im � GHz-Band möglich – unabhängig von Steigerungen, die manche Hersteller durch Eigenlösungen zusätzlich anbieten. In der Praxis nutzen die Stationen die höchst-mögliche Übertragungsrate. Stellen sich aus verschiedenen Gründen zu viele Fehler beim Datentransfer ein, kommen niedrigere Raten zum Einsatz.

Das � GHz-Band wurde in Deutschland seit November 2002 zur Nutzung durch WLANs freigegeben. Dazu gehören insgesamt 19 Kanäle mit je 20 MHz Kanalbrei-te und Abständen zwischen �,1� und �,�� GHz sowie �,47 und �,72� GHz unterei-nander. Der Abstand soll Interferenzen zwischen benachbarten Kanälen verhindern. Einschränkend darf das erste Band nur innerhalb von Gebäuden genutzt werden. Die Sendleistung muss auf 200 mW begrenz sein. Das bedeutet eine Reichweite von lediglich 10 bis 1� m. Für das zweite Band liegt die Obergrenze bei 1 W.

2.5.2.2 Die Version 802.11b

Zeitgleich mit 802.11a wurde 802.11b veröffentlicht. Diese Version verbleibt im Frequenzbereich von 2,400 bis 2,48�� GHz. Sie erreicht trotzdem eine Steigerung der Datenrate auf �,� bzw. 22Mbit/s (brutto). Dies wird sicher gestellt durch die HR/DSSS-Technologie. Sie ist abwärts kompatibel mit DSSS. Die Netto-Übertra-gungsrate beträgt etwa �0% davon. Das vergleicht sich gut mit der Rate in noch heute existierenden LANs von 10 Mbit/s. Auch gegenüber dem Internet kann sich diese Rate sehen lassen – was klassische Datenübertragung betrifft. Die neueren Anforderungen aus dem audiovisuellen Bereich stellen dafür jedoch ernsthafte He-rausforderungen dar.

Abb. 2.9 Der IEEE 802.11-Standard und das OSI-Modell

Verbindungsschicht


LCC: 802.2 802.1(x)

MAC: 802.11 MAC 802.11d 802.11h 802.11i

802.11 MAC 802.11a 802.11b 802.11g

2�

Ein weiterer Grund, warum 802.11b der am weitesten verbreitete Standard ist, ist in der WECA, jetzt WI-FI-Alliance, die im gleichen Jahr 1999 gegründet wurde, zu finden. Die WI-FI-Alliance förderte die Technologie durch Vergabe des Wi-Fi-Logos. Ansonsten gibt es eine Reihe technischer Vorteile gegenüber 802.11a, z. B. die größere Reichweite sowohl in Gebäuden als auch im Freien. Die Nachteile lie-gen – wie gesagt – in den möglichen Interferenzen mit anderen technischen Geräten im 2,4 GHz-Band.

2.5.2.3 Die Version 802.11d

Die Version 802.11d enthält Spezifikationen für die MAC-Schicht, die es ermögli-chen, WLAN-Komponenten überall auf der Welt einzubinden. Für dieses Roaming werden die Sendeparameter entsprechend angepasst.

2.5.2.4 Die Version 802.11g

Der Standard 802.11g wurde von der IEEE im Juni 200� freigegeben. Er ist abwärts kompatibel mit dem 802.11b und nutzt ebenfalls das Frequenzband zwischen 2,4 und 2,48�� GHz. Da er zudem mit der OFDM-Technologie arbeitet, erzielt man mit ihm Übertragungsraten von �4 Mbit/s (Maximum). Bei der Reichweite hat sich aber gegenüber 802.11b nichts geändert. Somit können 802.11g Komponenten problem-los in existierende 802.11b WLANs integriert werden. In der Praxis wird das durch den Kompatibilitätsmodus erreicht mit dem Nachteil, dass die Übertragungsrate wiederum auf 10–1� Mbit/s heruntergefahren wird.

2.5.2.5 Die Version 802.11h

Die Version 802.11h dient dazu, Funkregulierungen im � GHz-Bereich, wie sie in Europa üblich sind, abzudecken. Dazu sind Anpassungen auf der MAC-Schicht er-forderlich. Im Einzelnen geht es um den Einsatz des TPC (Transmit Power Control)-Verfahrens. Dieses Verfahren setzt die Sendeleistung in Abhängigkeit von der Kom-munikationsqualität herab. Dahinter verbarg sich eine Anforderung der ETSI.

Zusammen mit der ETSI sind auch die deutschen Regulierer vorstellig gewor-den. Die zuständige Behörde forderte den Einsatz von TCP als Voraussetzung für die Freigabe von Komponenten im � GHz-Band. Ansonsten würden bestimmte Obergrenzen greifen. Innerhalb von Gebäuden liegt die Obergrenze bei �0 mW für Access Points ohne TCP, mit TCP bei 60 mW zwischen �,1�0 und �,��0 GHz. Für Geräte, die mit einem dynamischen Frequenzwahlverfahren ausgestattet sind, er-höht sich darüber hinaus die Obergrenze auf 200 mW.

TCP macht nichts anderes, als die Sendeleistung konstant innerhalb der zu-gelassenen Bandbreite zu halten, wenn einzelne Stationen miteinander oder mit einem Access Point kommunizieren. Dazu ist ein Regelbereich für automatische

2.� Der IEEE-802.11


Leistungsanpassung definiert. In Deutschland liegt der bei 6 dB. Um dieses Verfah-ren zu realisieren, fordern die Stationen Statusinformationen über die Verbindungs-strecke zwischen den Kommunikationspartnern via TCP Request Frames an.

Ein weiteres Feature ist DSF: Dynamic Frequency Selection. Hierbei handelt es sich um eine Methode, die jeweils günstigste Frequenz auszuwählen. Im Zuge dieses Verfahrens wird immer dann automatisch ein Kanalwechsel vollzogen, wenn außer dem jeweiligen Benutzer noch andere User oder technische Fremdgeräte auf demselben Kanal innerhalb des � GHz-Bandes arbeiten. Eine entsprechende Prü-fung erfolgt vor jeder einzelnen Kanalnutzung. Auf diese Weise werden Interferen-zen in dem Frequenzband ausgeschlossen. In allen anderen Bereichen ist 802.11h mit 802.11a kompatibel.

2.5.2.6 Die Version 802.11i

Noch näher zurück liegt die Veröffentlichung von 801.11i. Erst im Jahre 2004 wur-de sie mit einem zuverlässigeren Sicherheitsprotokoll freigegeben. Auslöser war das Verschlüsselungsverfahren WEP und die damit verbundenen Risiken. Als Aus-weg hat man nicht ein Verfahren (WEP) durch ein besseres ersetzt, sondern eine ganze Sicherheitsarchitektur entwickelt, die RSN: das Robust Security Network. Dieses Sicherheitsprotokoll kann innerhalb der Versionen 802.11a/b/g und h zum Einsatz kommen.

Und erstmals lässt sich auch der Ad-hoc-Modus wirkungsvoll absichern. 802.11i verwendet eine Reihe von Verschlüsselungsverfahren. Dazu gehört auch AES: Ad-vanced Encryption Standard. Das Schlüsselmanagement basiert auf dem Temporal Key Integrity Protocol (TKIP). Außerdem wird ein gesondertes Authentifizierungs-verfahren für WLAN-Zugriffe angewendet, das im Detail im Standard 802.1x be-schrieben wird. Dieses Authentifizierungsverfahren funktioniert entlang dem Ex-tensive Authentication Protocol (EAP). Der Standard selbst gehört nicht der 802.11 Familie an, sondern dem allgemeinen Bereich von 802 für alle Arten von Netz-werken. IEEE 802.1x unter Verwendung des RADIUS-Servers wird weiter unten erläutert.

Ein weiterer Grund, warum 802.11i dringlich wurde, war die Tatsache, dass Teile davon bereits unter WPA der Wi-Fi-Alliance kursierten. Die Alliance hat nachher diesen Standard auch unter WPA2 geführt.

Die folgende Tab. 2.2 fasst noch einmal die bereits besprochenen Standard-Ver-sionen der 802.11 Familie zusammen mit den wichtigsten Rahmendaten:

Tab. 2.2 Frequenzen und Übertragungsraten der verschiedenen WLAN-VariantenStandard Frequenzband (GHz) Datenübertragungsrate (Mbit/s)802.11 2,4 2802.11b 2,4 11802.11g 2,4 �4802.11a � �4802.11h � �4

27

2.5.2.7 Weiterentwicklungen von 802.11

Geplant bzw. in Arbeit sind folgende Erweiterungen des Standards:

• 802.11n: für schnelleres WLAN mit 248 Mbit/s brutto Datenrate (74 Mbit/s netto) zwischen 2,4 und � GHz; Reichweite 70 m in Gebäuden, 2�0 m außerhalb

• 802.11p: für den Einsatz in Fahrzeugen• 802.11y für �4 Mbit/s (netto 2� Mbit/s) bei �,7 GHz; Reichweite �0 m in Ge-

bäuden, �.000 m außerhalb• Andere Erweiterungen betreffen zunächst Zusammenfassungen älterer Stan-

dards, das Verhältnis von Sprache zu Daten, Unterstützung von virtuellen LANs, Roaming, Mesh Networks, Performance, Zusammenspiel mit Netzen anderer Standards und Fragen des Netzwerkmanagements.

2.5.2.8 Die Version 802.11n

Obwohl der 802.11n noch nicht freigegeben ist, gibt es bereits Komponenten auf dem Markt, die zu dem aktuellen Diskussionsstand korrespondieren. Die Freigabe ist geplant für Anfang 2010. Die ersten Arbeiten an dem Standard haben bereist in 200� begonnen. Als wichtiger Zwischenschritt gilt die Version 2.0 von September 2007. Es gibt noch einige offene Probleme wie zum Beispiel die Unterstützung in-dividueller Features. Die letzte Version 10.0 datiert vom 1�. Mai 2009.

Wie auch alle bisherigen Standards arbeitet 802.11n in den Frequenzbereichen 2,4 und �,0 GHz. Ziel der neuen Entwicklung ist eine Übertragungsrate von 600 Mbit/s und eine Reichweite von bis zu �00 m. Hierbei handelt es sich jedoch um theore-tische Werte. In der Praxis ist eine Rate von 100 Mbit/s eher wahrscheinlich. Das hängt mit dem Zusammenspiel von Komponenten unterschiedlichster Art in einem typischen Netzwerk zusammen. Weil der neue Standard rückwärts kompatible mit 802a, b und g sein soll, wird die Rate wahrscheinlich noch niedriger sein.

Der Standard wendet hauptsächlich drei Technologien an: Multiple Input Multip-le Output (MIMO), Channel Bonding und Frame Aggregation. Bei MIMO werden mehrere Sender und mehrere Empfänger gleichzeitig eingesetzt. Durch räumliches Multiplexing werden die Datenströme zerstückelt und als einzelne Einheiten über denselben Kanal simultan abgeschickt. Der Empfänger setzt aus diesen Strömen die Nachricht über einen komplexen Algorithmus wieder zusammen. Zusätzlich fokussiert MIMO die Energie des Funksignals in Richtung des vorgesehenen Emp-fängers. Die Channel Bonding Methode des 802.11n erweitert zwei 20 MHz Ka-näle zu einem einzigen 40 MHz Kanal und verdoppelt somit die Übertragungsrate. Indem individuelle Frames zu größeren Datenpaketen kombiniert werden, wird die Gesamtzahl der Frames reduziert und damit auch die Overheads, sodass die trans-portierte Menge noch einmal gesteigert werden kann.

Noch vorhandene Probleme mit dem Standard bestehen im Wesentlichen im ho-hen Energieverbrauch und in der Verringerung der Sicherheit. Letzteres ist darauf zurückzuführen, dass die Scans zur Entdeckung von Eindringlingen doppelt solan-ge benötigen wie sonst und damit auch den Hackern doppelt soviel Zeit lassen.

2.� Der IEEE-802.11


2.5.2.9 Der 802.1x Standard

Der 802.1x steht für eine zusätzliche wichtige Sicherheitsoption. Er ist gültig für jede Art von LAN. Gegenstand sind Verfahren der Benutzerauthentifizierung und des Schlüsselmanagements. Diese Verfahren benötigen dazu einen gesonderten Authentifizierungsserver. Dieser Server steuert sämtliche Zugänge zu einem Netz-werk. Notwendig dazu ist ein Nachrichtenaustausch zwischen Clients und Server zum Zwecke der gegenseitigen Identifizierung. Ohne einen positiven Abschluss dieses Verfahren ist ein Datenempfang zwischen Station und Access Point bzw. zwischen Access Point und Endgerät nicht möglich. Im Zuge dieser Prozedur wird ein Sitzungsschlüssel erzeugt, der für den gesamten dann folgenden Datenverkehr Gültigkeit hat.

Es ist unstrittig, dass dieser zusätzlich Standard eine erhebliche Steigerung der Sicherheit eines WLANs ermöglicht. Diese zusätzlichen Sicherheitsmechanismen betreffen allerdings auch wiederum nur einen bestimmten Aspekt der Sicherheits-lage insgesamt – den geschützten Zugriff auf das Netz selbst. Daneben gibt es eine Reihe zusätzlicher Sicherheitsmaßnahmen. Zu denen gehören auf anderen Ebenen Firewalls oder Sicherheitsprotokolle auf der IP-Ebene. Zu Letzteren sind z. B. VPN (Virtual Private Network) Lösungen zu rechnen.

Authentisierungsverfahren 802.1x bietet einen bequemen Weg, kryptografische Schlüssel für WLANs zu erstellen, um eine typische Verschlüsselungssicher-heit herzustellen. Die Authentisierung ist zugangsbasiert in mobilen Wi-Fi- Netzwerken.

Authentikatoren, allgemein in drahtlosen Access Points integriert, sind Elemente innerhalb eines Authentisierungssystems, die physisch Zugang gewähren oder ver-hindern können. Der Anmelder versucht zu einem WLAN durch den Authentika-tor Zugang zu gewinnen, der seinerseits Authentifikationsbeglaubigungen am An-schluss verlangt. Authentifikations-Server sind gewöhnlich Remote Authentication Dial-In User Service (RADIUS) Server.

Der 802.1x-Prozess started, wenn der Anmelder sich mit dem Authentifikator in Verbindung setzt, um in das Netzwerk zu gelangen (Ablauf s. Abb. 2.10).

Das System blockiert den gesamten Verkehr des Clients außer dem, der zur Authentisierung gehört. Wenn der Zugangsversuch entdeckt wird, verlangt der Au-thentikator vom Anmelder seine Identität.

Der Anmelder bringt die Identifikationsinformationen bei sowie seinen Zugangs-wunsch zum Authentifikationsserver über den Authentifikator. Danach erfolgt ein Austausch von Frage- und Antwort-Nachrichten in Abhängigkeit vom Protokoll. Manchmal authentifiziert das Netzwerk nicht nur den Client, sondern der Client unternimmt Schritte, um festzustellen, ob er sich mit einem Netzwerk verbindet, dem er trauen kann. Das erhöht den Frage-/Antwort-Datenverkehr.

Falls der Anmelder die Bedingungen zufrieden stellt, informiert der Server den Authentifikator, der dann den Zugang ermöglicht, indem er den Anschluss frei schaltet. Um Sicherheit zu gewährleisten, tauschen Anmelder und Authentifikator kryptografische Schlüssel aus.

29

Typischer Weise authentifiziert sich der Anmelder über eines der vielen Extensi-ble Authentication Protocols (EAP).

IEEE 802.1x generiert und erzeugt Einzel-User kryptografische Schlüssel für jede Session. Dadurch werden Probleme vermieden, die mit einigen Sicherheits-technologien verbunden sind, wie z. B. mit WEP, die einen Schlüssel zum dechiff-rieren für alle Endgeräte am selben Access Point benutzen.

Wenn der Anmelder sich auslogged, sendet er eine Nachricht an den Authenti-fikator, der den Zugang zurücksetzt, sodass dieser für jeden nicht-authentifizierten Verkehr blockiert ist.

Verbreitung Bis heute ist der Standard 802.1x trotz aller Vorteile nicht sehr weit verbreitet. Gründe dafür sind relativ hohe Investitionen, aber auch Betriebskosten. Organisationen, die den Standard einsetzen möchten, müssen unterschiedlichste Komponenten inklusive den RADIUS-Server kaufen, installieren, warten und kon-figurieren. Damit sind viele Nutzer häufig nicht vertraut. Für diesen komplexen Einführungsprozess müssen Zeit und Geld aufgewendet werden. Hinzu kommt, dass die Marktanbieter häufig ihre eigenen Versionen des Standards ausliefern, die untereinander nicht immer kompatibel sind. Der 802.1x ermöglichst so viele Authentisierungsmethoden, dass der Nutzer Probleme hat, die für ihn vorteilhaf-teste auszuwählen.

Die OpenSEA Alliance versucht, diese Probleme durch die Entwicklung von Open Source Referenzinstallationen anzugehen, um Abhängigkeiten von Anbietern und Betriebssystemen zu reduzieren. Auf diese Weise erhofft man sich eine bessere Interoperabilität und damit eine weitere Verbreitung des Standards.

Abb. 2.10 802.1x Authentisierungsprozess

Anmelder Authentifikator Authentifikations-Server

802.11 Verbindung

802.1X-kontrollierter Eingang blockiert

802.1X-Identität angefordert

802.1X-Identifizierungsantwort

802.1X-Identitätsantwort RADIUS-Zugang angefordert

RADIUS-Zugangsüberprüfung/Antwort

802.1X EAP-Erfolg RADIUS-Zugang akzeptiert

Schlüssel HandshakeSchlüssel

802.1X-kontrollierter Eingang freigegeben

Entscheidung

2.� Der IEEE-802.11

�0 2 Grundzüge des WLAN

2.5.2.10 Varianten außerhalb des Standards

Für die Hersteller von Komponenten und Lösungen in einem bestimmten Gebiet ist die Arbeitsweise großer Standardisierungsgremien wie die des IEEE zu langsam. Aus diesem Grunde werden manchmal proprietäre Erweiterungen angeboten. Das macht auch vor dem WLAN nicht halt. Auf diese Weise findet man z. B. die Varian-te 802.11b+ auf dem Markt. Diese Variante ermöglicht Übertragungsraten von 22 bis 44 Mbit/s innerhalb des 2,4 GHz-Bandes. Auch für 802.11g existieren Ableger, die zwei Kanäle so bündeln, sodass Übertragungsraten von bis zu 108 Mbit/s erzielt werden können. Dazu sein angemerkt, dass all diese Varianten nicht von der IEEE entwickelt und freigegeben wurden. Das wiederum hat Auswirkungen auf die Kom-patibilität der Komponenten mit Geräten anderer Hersteller.

2.5.2.11 Alternative Versuche

Auch auf europäischer Ebene hat man versucht, mit eigenen Standards Fuß zu fassen. Praktisch hat das keine Bedeutung gehabt. So hat die ETSI (European Telcommu-nication Standardization Institution) Komitees ins Leben gerufen mit der Aufgabe, Alternativen zur IEEE Standardisierungsvorschriften für drahtlose Kommunikation zu formulieren. Bekannt geworden sind diese Versuche unter den Bezeichnungen HIPERLAN/1 (1998) und HIPERLAN/2 (2000). HIPERLAN steht für High Per-formance Radio Local Network. Daneben gibt es HomeRF oder Home Radio Fre-quency Group, die im Jahre 1998 Übertragungsraten von 10 Mbit/s anbot.

2.6 OSI – die Physikalische Schicht im Detail

Die Hauptherausforderung bei der Funkübertragung auf der physikalischen Schicht besteht in dem Umstand, dass sich innerhalb des angebotenen Frequenzbandes viele Stationen gleichzeitig befinden, die versuchen, Daten zu senden. Überlappen sich die Reichweiten all dieser Teilnehmer für Senden und Empfang, so muss für dieses Problem eine Lösung gefunden werden.

Der Einsatz der beiden möglichen Spread Spectrum Modulationsverfahren ist Voraussetzung, dass zwischen den unterschiedlichen Teilnehmern im Netz differen-ziert werden kann. Hier kommen also für die Generierung der Funksignale FHSS und DSSS zum Einsatz. Obwohl FHSS schon früher verfügbar war, ist heute DSSS das am weitesten verbreitete Verfahren. Es besteht keine Kompatibilität zwischen beiden, sodass in ein und demselben WLAN nur Komponenten, die entweder dem einen oder dem anderen Verfahren gehorchen, eingesetzt werden können – niemals gemischt.

Die Vorteile der Spread Spectrum Methoden gegenüber einem einzelnen Über-tragungskanal sind bereits erwähnt worden: sie sind robuster gegenüber Interferen-zen – besonders dann, wenn diese von äußeren Störungen verursacht werden.

�1

2.6.1 Das FHSS Verfahren

Beim Frequency Hopping Spread Spectrum wird das Funksignal in schmale Seg-mente zerlegt (s. Abb. 2.11). Das ermöglicht, dass das Signal in Sekundenbruch-teilen mehrfach von einer Frequenz zu einer anderen wechselt. Diese Frequenzen werden zufällig ausgewählt. Das zugehörige Verfahren ist das GFSK: Gaussian Shift Keying. Dadurch wird ein Sprungmuster auf der Sendeseite erzeugt. Dieses Muster muss der Gegenseite beim Empfang natürlich bekannt sein, damit das Gan-ze funktioniert.

Obiges Verfahren gibt es jeweils für eine Kombination Sender/Empfänger. Da sich im Netzwerk viele solcher Kombinationen befinden, müssen entsprechend vie-le individuelle Sprungmuster erzeugt werden, damit im gesamten Netz parallel sol-che Datenübertragungen stattfinden können, ohne dass es zu Interferenzen kommt.

Die Komplexität des Gesamtgeschehens schließt nicht aus, dass es dennoch gele-gentlich zu Kollisionen kommen kann. Ist das der Fall, wird das in Frage kommende Datenpaket nochmals versendet, damit der Empfänger eine korrekte Kopie erhält, was er daraufhin durch eine entsprechende Meldung quittiert. Zu diesem Zweck wird das 2,4 GHz-Band in 7� Unterkanäle mit einer Breite von jeweils 1 MHz ge-splittet. Die Natur des Verfahrens erfordert ein entsprechendes Management, sodass von dem insgesamt verfügbaren Datenvolumen ein entsprechender Anteil für Over-heads verloren geht. Dies geht natürlich zu Lasten der Nutzdaten. Das wiederum führt in letzter Konsequenz zu einer Verlangsamung der Übertragungsrate. Beim FHSS beträgt sie maximal 1 Mbit/s.

2.6.2 Das DSSS Verfahren

Direct Sequence Spread Spectrum ist am weitesten verbreitet. Es arbeitet jedoch ganz anders als FHSS. DSSS und FHSS sind nicht kompatibel. Beim DSSS wird nur ein Kanal von 22 MHz Breite benötigt. Zwischen den Frequenzen wird nicht

2.6 OSI – die Physikalische Schicht im Detail

Abb. 2.11 Frequenz-sprünge (Schema) im FHSS-Verfahren Zeit

Frequenz


gesprungen (s. Abb. 2.12). Das Verfahren beruht auf der Kombination des Daten-stromes mit einem Chipping-Code über eine XOR-Anweisung. Die Daten werden durch zufällige Abfolgen von Bits gemappt. Diese Abbildungen sind nur Sender und Empfänger bekannt.

Durch dieses Verfahren werden die zu übertragenden Daten auf die gesamte ver-fügbare Bandbreite gespreizt. Für längere Chips wird mehr Bandbreite erforderlich. Die Sicherheit für eine fehlerfreie Datenübertragung wird dadurch erhöht.

Der Empfänger kann auf diese Weise nachvollziehen, ob die Daten von demjeni-gen Sender geschickt wurden, der den zugehörigen Chip-Code erzeugt hat. Fehler-prüfung basiert auf Überprüfung der Bitmuster. Sollten Bitmuster, die nicht dem Code zugeordnet werden können, auftauchen, werden diese herausgefiltert. Trifft das nur auf wenige Bits zu, erfolgte eine automatische Korrektur ohne Neuver-sendung der Daten. Insgesamt sind die Overheads beim DSSS geringer, sodass eine höhere Nettoübertragungsrate erzielt werden kann.

Die Overheads setzen sich wie folgt zusammen:

• Präambel: 144 bits, wovon:− 128bitsfürSynchronisierung− 16bitsfürdasStart-of-Frame-Feld

• Header: 48 bits (Übertragungsrate, Paketlänge, Prüfcode).

Der Header selbst wird zunächst mit 1 Mbit/s per Default übertragen, da er ja erst die eigentliche Übertragungsrate informatorisch enthält.

Die Präambel wird anschließend automatisch entfernt. Sie wird jedoch bei der Festlegung der Übertragungsrate mitgezählt. Das hat zur Folge, dass die Nettoüber-tragungsrate grundsätzlich niedriger ist als die nominelle.

2.6.3 Die HR/DSSS Variante

DSSS ist noch verbessert worden. Diese Variante heißt HR/DSSS: High Rate Direct Sequence Spread Spectrum. Sie hat sich weitgehend durchgesetzt. Auch HR/DSSS arbeitet im 2,4 GHz Frequenzband. Durch die Modulationstechnik CCK (Comple-mentary Code Keying) können Übertragungsraten von �,� bzw. 11 Mbit/s erreicht werden.

Abb. 2.12 Codierung im DSSS-Verfahren (schematisch) 1 Bit

korrespondierender8-Chip-Code

��

2.6.4 Die OFDM Methode

Orthogonal Frequency Division Multiplexing, kurz OFDM, bezeichnet eine weitere Methode der Signalgenerierung in Funknetzen im � GHz-Band. OFDM setzt die digitalen Daten in multiple Analogsignale um – anders als bei FHSS oder DSSS. Die so erzeugten Daten werden parallel übertragen. Im Zuge des Verfahrens wer-den die Frequenzbänder zunächst in vier Kanäle aufgeteilt. Diese Kanäle wiederum werden in �2 Unterkanäle mit einer Breite von jeweils �00 kHz unterteilt. Dabei ist eine Überlappung von Unterkanälen unkritisch. Interferenzen werden durch zeit-liche Taktung vermieden. Auch bei dieser Methode ist das Ziel eine Steigerung der Übertragungsrate. Wegen regulativer Einschränkung der Sendeleistung ist die Reichweite gegenüber den anderen Verfahren allerdings geringer.

Weiteren Einfluss auf die Übertragungsrate hat das eingesetzte Modulationsver-fahren. Die Tab. 2.� zeigt eine Übersicht:

Als logische Folge wurde dann die OFDM Methode auch auf das 2,4 GHz-Band übertragen, mit der Maßgabe, auch in diesem Bereich entsprechend verbesserte Übertragungsraten zu erzielen.

2.7 OSI – die Medienzugriffsschicht

Es gibt eine Reihe von grundsätzlichen Unterschieden in den Zugriffsverfahren auf ein Übertragungsmedium zwischen den WLAN-Standards und den sonstigen Standards der 802 Familie für sonstige lokale Netze. Begründet liegt das in den Be-sonderheiten der Funkübertragung. Dazu werden unterschiedliche Dienste für die Medienzugriffsschicht durch den 802.11 Standard definiert. Diese Dienste legen die Spielregeln für den Datenaustausch fest. Insbesondere beziehen sich die Dienste auf die Aufbereitung der Daten für die Übertragung und die Übertragungssicherheit.

2.7.1 Verpackung

Wie bereits weiter oben ausgeführt, müssen für drahtlose Datenübertragungen die Daten entsprechend nach vorhergehender Aufteilung verpackt werden. Im 802.11 Standard ist die Rede von MPDUs (MAC Protocol Data Units). Er beschreibt im


Tab. 2.3 ModulationsverfahrenVerfahren Kürzel Rate (Mbit/s)Binary Phase Shift Keying-Modulation BPSK 6–9Quadrature Phase Shift Keying QPSK 12–18Quadrature Amplitude Modulation QAM 24–�664-QAM-Modulation 64-QAM 48–�4


Einzelnen, wie ein Datenpaket oder Frame aufgebaut ist. Innerhalb der Frames gibt es bestimmte Typen:

• Data Frames (Nutzdaten)• Control Frames (Steuerdaten)• Management Frames (für die Administration des Netzbetriebes).

Der Aufbau eines Data Frames, wie in der folgenden Abb. 2.1� zu sehen, enthält folgende Elemente:

• MAC Header• Frame Body (Nutzdaten)• Frame Check Sequence (Prüfsumme als �2 bit Cyclic Redundancy Code

(CRC)).

Die Länge des Frame Body ist variabel, alle anderen Felder haben eine feste Länge in festgelegter Sequenz. Hier die Adressenfolge:

• Adresse: Zieladresse (Empfänger)• Adresse: Quelladresse (Sender)• Zwei Folgeadressen: Steuerung der Weiterleitung.

Es gibt unterschiedliche Konfigurationsparameter bei den Access Points. Dazu ge-hört auch eine Schwelle für die Fragmentierung. Sie legt die maximale Paketlänge fest (Default: 24�2). Falls ein Paket diese Grenze nach oben nicht einhält, erfolgt eine Aufteilung in entsprechend viele weitere Fragmente.

2.7.2 Kollision

Zusammenfassend lässt sich sagen, dass über die MAC-Schicht der Datenverkehr im drahtlosen Netz gesteuert wird. Ein wesentlicher Aspekt dabei ist die Vermeidung

Abb. 2.13 Aufbau des Data Frames

��

von Kollisionen, die dann auftreten können, wenn gleichzeitig Daten von verschie-denen Stationen abgeschickt werden.

2.7.2.1 Arbeitsweise von CSMA/CA

Es wird ein Zufallverfahren eingesetzt, um entsprechend 802.11 auf einen Funk-kanal zuzugreifen. Dieses Verfahren läuft unter der Bezeichnung Carrier Sense Multiple Access with Collision Avoidance – CSMA/CA. Das ist die Basis für die Möglichkeit konkurrierenden Zugriffs auf ein Medium für mehrer Stationen gleich-zeitig. Das funktioniert wie folgt:

Angenommen, eine Station ist bereit, Datenpakete auf den Weg zu bringen. Be-vor das passieren kann, muss diese Station zunächst das System abhören, ob andere Signale kursieren. Ist das nicht der Fall, wird als nächstes eine kurze Zeitspanne zugewartet. Das nennt man Inter Frame Spacing. Dann hört die Station nochmals ins Medium hinein. Bei Funkstille wird das Paket dann abgeschickt. Der Empfän-ger checkt die Integrität der Daten. Bei positiver Entscheidung wird nochmals eine kurze Zeit (Short Inter Frame Spacing) abgewartet. Dann erfolgt die Bestätigung an den Sender. Falls der Sender keine Bestätigung erhält, geht er davon aus, dass eine Kollision mit einem anderen Datenpaket stattgefunden hat. Der Sender wartet wiederum eine kurze Zeit. Dann wird eine neue Übertragung angestoßen.

2.7.2.2 Die RTS/CTS Erweiterung

Auch für CSMA/CA gibt es eine weitere Optimierungsmöglichkeit – das RTS/CTS-Verfahren. Hierbei geht es um das Problem sogenannter „versteckter“ Terminals. Das sind Endgeräte, mit denen nicht kommuniziert werden kann, weil Signale zu schwach werden. Das Verfahren sieht vor, dass der Sender ein „request to send“ -Paket abschickt. Damit wird ein Übertragungskanal reserviert. Das wird durch den Empfänger durch ein „clear to send“-Paket bestätigt. Alle anderen Stationen halten sich für den entsprechenden Zeitraum zurück, dadurch, dass sie sich die Belegungs-dauer aus den RTS/CTS-Paketen merken. Versucht dennoch eine weitere Station zu senden, steuert CSMA/CA alle weiteren Stationen aus, bis die eine Station ihre Arbeit erledigt hat.

Ein weiterer Konfigurationsparameter für Access Points ist die CTS/RTS-Schwelle. Darüber wird die Paketgröße definiert, die als Kriterium festlegt, ob letztendlich die CSMA/CA Methode des WLAN-Standards oder die CSMA/CD Methode für LANs zum Tragen kommt.

2.7.3 Adressraum

Für die Protokolle der 802.11 MAC-Schicht ist ein Adressraum festgelegt, der über die allgemeinen LAN-Standards der 802-Familie definiert wird. Es gibt eine



MAC-Adresse (Medium Access Control Address), die der Identifizierung von Komponenten dient. Diese Adresse ist 48 bits lang in hexadezimaler Schreibwei-se und korrespondiert zur Seriennummer, die von den Herstellern von Netzwerk-komponenten vergeben wird. Davon sind die ersten 24 bits von der IEEE für die Identifizierung des Herstellers selber reserviert. Die anderen 24 bits stehen dem Hersteller zur Verfügung.

2.7.3.1 Adressierung

Die MAC-Adressen werden durch die Protokolle der MAC-Teilschicht ausgewer-tet, und die 802.11 Komponenten im Netz lassen sich darüber entsprechend ad-ressieren. Außerdem dienen sie dazu, die Protokolle der höheren OSI-Schichten anzusprechen. Man kann also einer Komponente über dessen MAC-Adresse eine IP-Adresse für Internetzugang zuordnen (s. Abb. 2.14). Das geschieht über das so-genannte Address Resolution Protocol (ARP).

Die Anwendung von MAC-Adressen erfolgt in normalen LANs und in WLANs nach denselben Regeln. Deshalb kann ein Internetprotokoll nicht unterscheiden, ob es mit einem LAN oder WLAN zu tun hat.

2.7.3.2 Selektion

Beim Konfigurieren von Access Points besteht die Möglichkeit, MAC-Adressfilter zu definieren. Diese Filter dienen dazu, bestimmte MAC-Adressen für den Zugang zuzulassen, andere wiederum nicht. Die Verwaltung dieser MAC-Adressen erfolgt manuell in Tabellen. Das erfordert einen entsprechenden Aufwand. Hier findet sich auch ein weiteres Sicherheitsproblem, das MAC Address Spoofing: die Vortäu-schung von MAC-Adressen. Kennt ein Angreifer eine gültige MAC-Adresse, kann er sein eigenes Gerät so einrichten, dass es diese dem Netz mitteilt, und so Zugang gewinnen.

2.7.4 SSID

Nach Standard 802.11 sollte jedes Netzwerk einen eigenen Namen erhalten, damit es von den verbundenen Stationen identifiziert werden kann. Dieser Netzwerkname

Abb. 2.14 Mapping von IP- zu MAC-Adressen in der Access Point Liste

00:30:f1:15:4b:6fFUJI192.168.0.53

00:10:5a:bb:0b:cbDELLPROF192.168.0.42

00:00:e2:30:6e:82MYTRAVELMATEXP192.168.0.31

MAC AddressDevice DesignationIP Address#

�7

ist frei wählbar und läuft unter SSID (Server Set Identifier). Er kann �2 Zeichen lang sein. Man kann ihn auch auf null setzen entsprechend dem Betriebsmodus „Any“ für einen Access Point. Mit „Any“ ist das Netz für jedermann zugänglich. In diesem Fall schickt der Access Point ununterbrochen Beacon Frames hinaus, um auf sich auf-merksam zu machen. Hat das Netzwerk dagegen einen konkreten Namen, erwartet der Access Point, dass die Stationen ihn unter dieser Kennung kontaktieren.

Die SSID stellt also eine Art von Zugangskontrolle dar. Diese Zugangskontrolle ist jedoch nur eine sehr schwache. Die SSID wird immer im Klartext gesendet, wenn Daten übermittelt werden. Sie kann also leicht ermittelt werden. Ein besonde-res Risiko stellen SSIDs dar, die sprechende oder halbsprechende Bezeichnungen verwenden, die Aufschluss über den User oder seine Organisation ermöglichen. Das sollte auf jeden Fall unterlassen werden.

2.7.5 Authentifizierung

Es liegt in der Natur drahtloser Kommunikation, dass sie erheblich anfälliger gegen Netzattacken und Spionage ist als etwa drahtgebundene Systeme, die feste Ver-bindungen aufweisen. Deshalb bedürfen sie besonderer Sicherheitsmaßnahmen, die bereits auf der Ebene der Authentifizierung beginnen. Das ganze findet auf der MAC-Schicht statt, und die IEEE hat in ihren 802.11 Standards entsprechende Vor-gaben dafür gemacht. Eine Authentifizierung ist unerlässlich, bevor eine Station zum Verkehr in ein WLAN zugelassen wird. Sie muss sich sozusagen als Mitglied der Netz-Community ausweisen. Es gibt nun zwei Arten für eine solche Authenti-fizierung:

• Open System und• Shared Key.

2.7.5.1 Die Open System Variante

Der Default ist das Open System Verfahren. Es handelt sich dabei aber in Wirklich-keit gar nicht um ein echtes Authentifizierungsverfahren. Deshalb spricht man bei ihm auch von der „null authentication“. Denn eine Station, die auf diese Methode hin konfiguriert ist, kann sich gegenüber jeder anderen Station, die im gleichen Mo-dus betrieben wird, genauso authentifizieren und umgekehrt. Dabei handelt es sich um ein zweistufiges Verfahren:

• Anforderung und• Bestätigung.

Erst nach erfolgter Bestätigung kann im WLAN gearbeitet werden. In einem Sys-tem, in dem alle Stationen in diesem Modus operieren, kann jemand mit einem Laptop sich mit allen anderen Netzwerken austauschen, wenn keine Verschlüsse-lung vorliegt.



2.7.5.2 Das Shared Key Verfahren

Shared Key ist Teil des WEP-Verfahrens (s. u. Wired Equivalent Privacy). Insofern muss WEP im Einsatz sein, damit es funktioniert. Bei dieser Methode wird ein ge-meinsamer Schlüssel zwischen Access Point und beteiligter Station vorhanden sein. Im Zuge des Austausches eines Testpieces muss die Station zunächst dem Access Point diesen Schlüssel mitteilen. Das Verfahren im Detail sieht so aus:

• Authentifizierungsanfrage der sendenden Station an Access Point unter Bekannt-gabe der eigenen MAC-Adresse, einer AAI (Authentication Algorithm Identifi-cation) = 1 für Shared Key und einer Sequenznummer zur weiteren Steuerung der folgenden Authentifizierungsschritte.

• Antwort des Access Points mit derselbe AAI, Sequenznummer+1, einer Zufall-zahl von 128 Bytes Länge.

• Neue Sequenznummer+1 Verschlüsselung aller drei Daten durch den Access Point unter Verwendung des gemeinsamen Schlüssels durch die Station und Rücksendung an den Access Point.

• Prüfung durch den Access Point durch Entschlüsselung, ob der gemeinsame Schlüssel stimmt.

• Bestätigung durch den Access Point.• Zugang der Station zum Netzwerk.

Dieses Verfahren ermöglicht also den Zugang zum Netzwerk auf Teilnehmer, die sich auf diese Weise authentifizieren können.

2.7.6 Das Wired Equivalent Privacy – (WEP) Verfahren

Die Architekten vom Standard 802.11 waren sich von Anbeginn an über die beson-deren Sicherheitsbedürfnisse von Funknetzen im Klaren. Deshalb wurde auch sofort an eine mögliche Sicherheitsarchitektur gedacht. Diese erste Sicherheitsarchitektur wurde unter der Bezeichnung Wired Equivalent Privacy (WEP) eingebracht. Hier-bei handelt es sich um ein so genanntes symmetrisches Verschlüsselungsverfahren gegen unbefugte Attacken. Es gibt einen geheimen Schlüssel, der nur dem Access Point und seinen zugehörigen Stationen bekannt ist. Der Standard führt allerdings nicht aus, wie das im Detail erfolgen soll. Das bedeutet, dass in einem WLAN über-all nur ein gemeinsamer Schlüssel verwendet wird. Abbildung 2.1� zeigt das WEP-Verfahrung im Grundschema.

Es gibt zwei Möglichkeiten, WEP einzusetzen:

• Zur Verschlüsselung von Datenpaketen oder• in Kombination mit der Shared Key Authentifizierung.

Im ersten Fall erfolgt der Einsatz wie oben beschrieben:

• Verschlüsselung der Daten durch den Sender• Entschlüsselung durch den Empfänger mit demselben Schlüssel.

�9

Die Schwächen von WEP sind schon bald nach den ersten Implementierungen offenbar geworden. Es ist auf keinen Fall geeignet, energischen Angreifern stand-zuhalten. Es gibt Computerprogramme, die Datenpakete auswerten, um an den WEP-Schlüssel heranzukommen. Die Schwachstellen von WEP haben mehrere Ursachen.

2.7.6.1 Das Verschlüsselungsverfahren

Eine der Ursachen für die WEP-Schwachstellen liegt im Verschlüsselungsverfah-ren selbst begründet. Die verwendeten Schlüssellängen betragen nach 802.11 64 oder 128 bits. Davon sind allein schon 24 bits vorbelegt, sodass nur noch 40 bzw. 104 bits für den User zur Auswahl stehen. Deshalb spricht man auch von einer 40. bzw. 104-bit-Verschlüsselung.

Im Falle einer frei verfügbaren Länge von nur 40 bits können insgesamt vier Schlüssel festgelegt werden, die aus jeweils fünf Gruppen in hexadezimaler Schreib-weise bestehen. Man kann diese Werte entweder manuell eingeben oder automa-tisch erzeugen lassen. Bei automatisierter Erzeugung ist das Verfahren zusätzlich durch ein Paßwort geschützt.

Für die WEP-Verschlüsselung kommt der RC4-Algorithmus (Rivest Cipher No. 4 nach dem Erfinder Ron Rivest) zum Tragen durch eine so genannte Stromchiffre. Dabei wird durch einen Zufallsgenerator aus einem geheimen Schlüssel mit fester Länge ein Strom von weiteren Schlüsseln erzeugt.

Ein 24 bit ebenfalls zufälliger Initialisierungsvektor (IV) und die 40 bzw. 104 bits für den Access Pointe setzen sich zu dem geheimen Schlüssel zusammen. Außerdem wird vor Versendung der Userdaten in einer Nachricht noch eine CRC-Prüfsumme von �2 bits Länge generiert und als ICV (Integrity Check Value) an die Daten ge-hängt. Der zu generierende Schlüsselstrom muss nun die gleiche Länge wie das so erweiterte Userdatenpaket haben. Die Nachrichtenlänge nach dem 802.11 Standard


Abb. 2.15 Das WEP-Verfahren

ICV

IV

IV

Nachricht

VerschlüsselteNachricht

SchlüsselstromSchlüssel

+

=

RC4


darf 2.�04 Bytes nicht überschreiten: Das schränkt auch die Größe des Frame Bo-dies unter WEP auf 2.�12 Bytes ein.

Anschließend erfolgt die Verknüpfung von Schlüsselstrom und Userdaten. Das geschieht durch XOR-Operationen. Unter Voranstellung des IV wird das Ganze dann verschickt. Beim Empfang wird das Verfahren umgekehrt, sodass der unver-schlüsselte Dateninhalt sichtbar wird. Danach wird die Checksumme nochmals er-zeugt und mit dem ursprünglichen Wert abgeglichen. Nur wenn beide übereinstim-men, wird das Datenpaket übernommen.

Die gesamte Verschlüsselung im WEP-Verfahren bezieht sich nur auf die User-daten, nicht auf Management- oder Steuerungsinformationen.

2.7.6.2 Schlüsselverwaltung

WEP kennt keine echte Schlüsselverwaltung. D. h. dass für alle Komponenten in einem Netzwerk nur ein einziger Schlüssel zum Einsatz kommt. Wegen der vielen Beteiligten gibt es Widerstände, diesen Schlüssel regelmäßig zu wechseln. Wird einem Gastuser dieser Schlüssel mitgeteilt, damit er arbeiten kann, so geht diese Information zwangsläufig nach außen. Adapterschlüssel sind manchmal auch über den Hersteller abzufragen. Da es sich um nur einen einzigen Schlüssel handelt, steht und fällt die Sicherheit des gesamten Netzwerkes mit ihm.

Trotz all dieser bekannten Schwächen werden von vielen Herstellern nach wie vor nur Komponenten mit WEP-Sicherheit auf den Markt gebracht. Bei der Ver-wendung von WEP sollte man die Schwächen dadurch zu kompensieren helfen, dass man wenigstens den Schlüssel regelmäßig wechselt.

2.7.6.3 Problem Schlüssellänge

Ein weiteres gravierendes Problem bei WEP besteht in der Länge der Schlüssel. Mit nur 64 bits sind sie viel zu kurz, um entschlossenen Angriffen zu trotzen. Selbst mit relativ einfachen Computerprogrammen lassen sich über Kombinatorik abge-hörte Daten so analysieren, dass ein solcher Schlüssel entziffert wird. Bestehen die Schlüssel zudem nur aus reinen ASCII-Zeichen in hexadezimaler Schreibweise, so wie sie manche Hersteller ausliefern, wird es den Hackern noch einfacher gemacht. Neuere Lösungen mit Schlüssellängen von 128 bits sind allerdings mit einfachen Methoden nicht mehr leicht zu knacken.

2.7.6.4 Der Initialisierungsvektor

Die Liste der WEP-Schwachstellen wird erweitert durch den Initialisierungsvektor, der ebenfalls zu kurz ist: 24 bits. Diesen Vektor generiert der Sender. Der 802.11 Standard sieht vor, dass er spezifisch für jedes Datenpaket erzeugt wird. Jeden-falls wird erwartet, dass die Komponenten mit dieser Möglichkeit ausgestattet sind.

41

Nicht alle Hersteller befolgen diese Vorgabe, sodass der Initialisierungsvektor nach wie vor eine bekannte Schwachstelle darstellt.

Damit die Verfahren über Stromchiffren erfolgreich und damit sicher arbei-ten, muss vorausgesetzt werden, dass der erzeugte Bitstrom sich zwischen je zwei Datenpaketen unterscheidet. Bei 24 bits können maximal 1024 Schlüssel generiert werden. Auch bei einer zufälligen Erzeugung von Schlüsseln besteht eine endliche Wahrscheinlichkeit, dass beim Versand einer bestimmten Anzahl von Datenpaketen ein bereits vergebener Schlüssel wieder erscheint.

Findet aber ein Angreifer denselben Schlüssel in zwei unterschiedlichen Daten-paketen, kann er durch logische Operationen auf die verschlüsselten Daten eine Entschlüsselung erzielen. Er hat dann die Möglichkeit, selbst Datenpakete zu pla-zieren, bis der Schlüssel wieder gewechselt wird.

2.7.6.5 Unzureichende Authentifizierung

Selbst die oben erwähnten Authentifizierungsprotokolle sind vor Entschlüsselung nicht sicher. Der Grund liegt darin, dass sowohl für die Authentifizierung als auch für die Userdaten derselbe Schlüssel eingesetzt wird. Außerdem braucht ein Ac-cess Point seine eigene Identität gegenüber einer Station nicht nachzuweisen – im Gegensatz zur Station ihm gegenüber. Das eröffnet die Möglichkeit, mit vorge-täuschten Access Points Zugang zum Netz zu gewinnen.

2.7.7 WEP als Minimalschutz

Die Schwachstellen von WEP sind ausreichend dargestellt worden. Soll man nun ganz auf WEP verzichten? – Sind keine besseren Schutzmöglichkeiten vorhanden, kann selbstverständlich auf WEP zurück gegriffen werden. Eine Möglichkeit, dort etwas zu verbessern liegt in der Wechselstrategie für Schlüssel. Das macht es für einen Angreifer zumindest mühsamer. Erhebungen zeigen, dass selbst WEP nicht allzu häufig genutzt wird, da der Standard das nicht zwingend vorschreibt.

Nachweisen lassen sich die ganzen Schwächen eines WEP-geschützten WLANs durch die Erfolge der Wardriver, die über ihre Endgeräte Zugang gewinnen können. Die kostenlose Mitbenutzung von Internetzugängen ist dabei ein Ziel, andere sind im Ausspionieren und der Manipulation fremder Daten zu suchen.

2.7.8 WPA

Um die Schwächen von WEP zu kompensieren, wurden proprietäre Verfahren ent-wickelt, um bessere Sicherheitsmechanismen zu implementieren, etwa WEPplus oder Fast Packet Keying. Erfolgreich war die WPA-Prozedur (Wi-Fi Protected Access) der Wi-Fi-Alliance, die seit 2002 verfügbar wurde.



2.7.8.1 Das TKIP Verfahren

TKIP (Temporal Key Integrity Protocol) wurde nachträglich für den Standard 802.11i definiert. Es kam allerdings vorher bereits für WPA zum Einsatz. Statt eines stationären Schlüssels wird mit einem temporären gearbeitet. Die R4C-Prozedur wurde allerdings beibehalten, um Kompatibilität zu erreichen. Insofern ist TKIP eine Verbesserung von WEP mit

• Einem erweiterten Initialisierungsvektor• Einer dynamischen Schlüsselgenerierung• Dem kryptografischen Message Integrity Check (MIC).

2.7.9 Zertifizierung

Die Wi-Fi-Alliance vergibt auch ein Zertifikat für WLAN-Komponenten in Form eines speziellen Logos (s. Abb. 2.16). Unter www.weca.net werden zertifizierte Ge-räte aufgelistet.

Ziel einer solchen Zertifizierung ist Kompatibilität. Geräte, die mit dem Logo versehen sind, können miteinander im gleichen Frequenzband kommunizieren, auch wenn sie von unterschiedlichen Herstellern stammen.

Eine weitergehende Zertifizierung betrifft WPA. Dafür entwickelte die Wi-Fi- Alliance ein eigenes Zertifikat unter der Bezeichnung Wi-Fi CERTIFIED for WPA2.

2.8 WMAN

Über WLAN hinaus gibt es Konzepte für Funknetze, die insgesamt größere Reich-weiten bedienen sollen. Eine spezielle Task Force der IEEE (die 802.16) hat sie ent-wickelt. Es handelt sich dabei um Wireless Metropolitan Area Networks (WMAN). Diese Gebilde sollen Gebiete mit Reichweiten von �0 km bei einer Datenübertra-gungsrate von 70 Mbit/s abdecken. Das Ganze spielt sich in den Frequenzberei-chen von 10 bzw. 66 GHz ab. Im Jahre 2002 lag der erste Entwurf vor, gefolgt von

Abb. 2.16 Wi-Fi-Logo

4�

802.16a in 200�. Diese Version bezog die Frequenzbereiche von 2 bis 11 GHz mit ein. In diesen Bereich fallen auch die von WLANs genutzten Frequenzen. Kompo-nenten kommen allerdings erst langsam auf den Markt, um schon eine ernstzuneh-mende Konkurrenz für DSL zu sein.

Es gibt, ähnlich wie bei WLANs die Wi-Fi-Alliance, ebenfalls eine Vereinigung, die die Verbreitung von WMAN fördert – das WIMAX-Forum für Worldwide Inter-operatbility for Microwave Access.

2.9 Rechtliche Aspekte

Funknetze sind zunächst Gegenstand der gängigen Gesetzgebung im IT- und Kom-munikationsbereich. Folgende Gesetzeswerke, die unterschiedliche Aspekte der IT-Sicherheit berühren, sind von Interesse:

• Bundesdatenschutzgesetz (BDSG)• Informations- und Kommunikationsdienstegesetz (IuKDG)• Fernmeldeverkehr-Überwachungs-Verordnung (FÜV)• Signaturgesetz (SigG)• Signaturverordnung (SigV)• Teledienstgesetz (TDK)• Teledienste-Datenschutzverordnung (TDSV)• Telekommunikationsgesetz (TKG).

Darüber hinaus existieren Regelungen, die die Vergabe und Nutzung von Frequenz-bereichen betreffen. Hier sind unterschiedliche Ebenen tätig:

• Die ITU (International Telecommunications Union) weltweit• Die CEPT (Conference Europeenne des Postes et Telecommunications) auf

europäischer Ebene• Das BMVIT (Bundesministers für Verkehr, Innovation und Technologie).

2.9.1 Lizenzfragen

In Europa ist die Bedeutung der für WLAN und DSL notwendigen Technologien erkannt worden. Dazu wurde ein entsprechender Rechtsrahmen etabliert. Er betrifft elektronische Netze und Dienste. Nach dieser Richtlinie sind Anbieter von Kom-munikationsnetzen nicht länger gehalten, gesonderte Anträge für Einzellizenzen zu stellen. Eine Allgemeingenehmigung genügt fortan.

Schon im Jahre 200� beschäftigte sich die EU-Kommission mit WLANs. Eine entsprechende Empfehlung lautet auszugsweise: „Funk-LAN-Systeme dür-fen entweder das Frequenzband von 2.400,0–2.48�,� MHz (nachfolgend ‚2,4-GHz-Band‘ genannt) oder die Frequenzbänder von �.1�0–�.��0 MHz oder von

2.9 Rechtliche Aspekte


�.470–�.72� MHz (nachfolgend ‚�-GHz-Bänder‘ genannt) ganz oder teilweise nut-zen.“ Damit entfällt für WLANs die Lizenzpflicht. Ausnahme sind Netze, die sich über mehrere Grundstücke erstrecken, zur Vermeidung von Interferenzen.

Diese Freigabe betrifft insbesondere Hotspots, aber auch sonstige Funknetze, sofern sie nicht kommerziell betrieben werden. Betroffen ist dabei die physikali-sche Schicht des OSI-Modells für Funknetze. Die gesetzlichen Vorschriften für die Inhalte, die über Netze ausgetauscht werden, unterliegen den einschlägigen recht-lichen Bestimmungen wie Copyright oder Jugendschutz etc.

sicher & mobil - ReadingSample · 2018. 3. 22. · Xpert.press sicher & mobil Sicherheit in der...

Documents

Transcript of sicher & mobil - ReadingSample · 2018. 3. 22. · Xpert.press sicher & mobil Sicherheit in der...